本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# VPC Lattice 适用于 Oracle Database@AWS
VPC Lattice 为 [Oracle Database@AWS](https://docs.aws.amazon.com/odb/latest/UserGuide/what-is-odb.html)(ODB) 的 AWS 托管服务集成提供支持,并为您简化了 ODB 网络和内部部署之间的连接。 AWS VPCs 为了支持这种连接,VPC Lattice 代表您配置了以下实体:
**默认服务网络**
默认服务网络使用命名约定 `default-odb-network-randomHash`
**默认服务网络端点**
此 AWS 资源没有名称。
**资源网关**
资源网关使用命名约定 `default-odb-network-randomHash`
VPC Lattice支持 AWS 托管服务集成,即与您的ODB网络的*托管集成。*默认情况下,Oracle 云基础设施 (OCI) Amazon S3 托管备份处于启用状态。您可以选择启用对 Amazon S3 和零 ETL 的自我管理访问权限。
创建 ODB 网络后,您可以使用或查看已配置的 AWS 管理控制台 资源。 AWS CLI以下示例命令列出了 ODB 网络的默认托管集成以及该服务网络可能拥有的任何其他资源:
```
aws vpc-lattice list-service-network-resource-associations \
--service-network-identifier default-odb-network-randomHash
```
## 注意事项
以下注意事项适用于VPC Lattice Oracle Database@AWS:
+ 您无法删除 VPC Lattice 配置的默认服务网络、服务网络终端节点、资源网关或任何 ODB 托管集成。要删除这些实体,请删除您的 ODB 网络或禁用托管集成。
+ 客户端只能访问 ODB 网络中的托管集成。ODB 网络之外的客户端(例如您的 VPCs客户端)无法使用这些托管集成来访问 S3 或 Zero-ETL。
+ 您无法连接到 VPC Lattice 配置的 ODB 网络之外的任何托管集成。
+ Amazon S3 的所有流量都通过默认的服务网络终端节点,访问资源将收取标准处理费。所有零 ETL 流量都将通过资源网关,您共享的资源将收取标准数据处理费用。有关更多信息,请参阅 [VPC 莱迪思定价](https://aws.amazon.com/vpc/lattice/pricing/)。
+ Oracle Database@AWS 托管集成不收取每小时费用。
+ 您可以像管理任何其他服务网络一样管理VPC Lattice提供的资源。您可以与其他 AWS 账户 或组织共享默认服务网络,并在默认网络中添加新的终端节点、VPC 关联、VPC Lattice 服务和资源。
+ VPC Lattice 需要以下权限才能配置 Oracle Database@AWS 资源:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowODBEC2andLatticeActions",
"Action": [
"ec2:DescribeVpcs",
"ec2:CreateTags",
"ec2:DescribeAvailabilityZones",
"ec2:CreateOdbNetworkPeering",
"ec2:DeleteOdbNetworkPeering",
"ec2:ModifyOdbNetworkPeering",
"ec2:DescribeVpcEndpointAssociations",
"ec2:CreateVpcEndpoint",
"ec2:DeleteVpcEndpoints",
"ec2:DescribeVpcEndpoints",
"vpc-lattice:CreateServiceNetwork",
"vpc-lattice:DeleteServiceNetwork",
"vpc-lattice:GetServiceNetwork",
"vpc-lattice:CreateServiceNetworkResourceAssociation",
"vpc-lattice:DeleteServiceNetworkResourceAssociation",
"vpc-lattice:GetServiceNetworkResourceAssociation",
"vpc-lattice:CreateResourceGateway",
"vpc-lattice:DeleteResourceGateway",
"vpc-lattice:GetResourceGateway",
"vpc-lattice:CreateServiceNetworkVpcEndpointAssociation"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Sid": "AllowSLRActionsForLattice",
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"vpc-lattice.amazonaws.com"
]
}
}
}
]
}
```
------
要使用 VPC Lattice Oracle Database@AWS,我们建议您熟悉 VPC Lattice 中的[服务网络](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-networks.html)[、服务网络关联](https://docs.aws.amazon.com/vpc-lattice/latest/ug/service-network-associations.html)和[资源网关](https://docs.aws.amazon.com/vpc-lattice/latest/ug/resource-gateway.html)。
**主题**
+ [Oracle 云基础设施 (OCI) Amazon S3 托管备份](vpc-lattice-oci-managed-backup.md)
+ [Amazon S3 访问权限](vpc-lattice-oci-s3-access.md)
+ [亚马逊 Redshift 的零 ETL](vpc-lattice-oci-zero-etl.md)
+ [访问和共享 VPC 莱迪思实体](vpc-lattice-oci-entities.md)
# Oracle 云基础设施 (OCI) Amazon S3 托管备份
当您创建 Oracle Database@AWS 数据库时,VPC Lattice 会创建一个名`odb-managed-s3-backup-access`为的资源配置。此资源配置表示您的数据库到 Amazon S3 的 OCI 托管备份,并且仅支持与 OCI 拥有的 Amazon S3 存储桶的连接。ODB 网络和 S3 之间的流量永远不会离开 Amazon 网络。
# Amazon S3 访问权限
除了 OCI 托管备份到 Amazon S3 之外,您还可以创建托管集成,允许从 ODB 网络访问 Amazon S3。当您修改 Oracle Database@AWS 网络以启用 Amazon S3 Access 托管集成时,VPC Lattice 会在默认服务网络`odb-s3-access`中配置一个名为的资源配置。您可以使用此集成来访问 Amazon S3 以满足自己的需求,包括自行管理的备份或恢复。您可以通过提供身份验证策略来建立边界控制。
## 注意事项
以下是 Amazon S3 Access 托管集成的注意事项:
+ 您只能为 ODB 网络创建一个 Amazon S3 Access 托管集成。
+ 这种托管集成仅允许从 ODB 网络访问 Amazon S3,而不能从默认服务网络中的其他 VPC 关联或服务网络终端节点访问 Amazon S3。
+ 您无法访问不同 AWS 区域的 S3 存储桶。
## 启用 Amazon S3 访问托管集成
使用以下命令启用 Amazon S3 Access 托管集成:
```
aws odb update-odb-network \
--odb-network-id odb-network-id \
--s3-access ENABLED
```
## 使用身份验证策略进行安全访问
您可以使用 ODB API 定义身份验证策略,从而保护对 S3 存储桶的访问。以下示例策略授予对特定组织拥有的特定 S3 存储桶的访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "Policy1515115909152",
"Statement": [
{
"Sid": "GrantAccessToMyOrgS3",
"Principal": "*",
"Action": "s3:*",
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::awsexamplebucket1",
"arn:aws:s3:::awsexamplebucket1/*"
],
"Condition": {
"StringNotEquals": {
"aws:ResourceOrgID": "o-abcd1234"
}
}
}
]
}
```
------
**注意**
使用 ODB 托管集成时 `aws:SourceVpc``aws:SourceVpce`,S3 存储桶策略不支持、和`aws:VpcSourceIp`条件键。
# 亚马逊 Redshift 的零 ETL
[您可以使用 VPC Lattice 提供的服务网络来启用零 ETL。](https://docs.aws.amazon.com/redshift/latest/mgmt/zero-etl-using.html)这种托管集成可将您的 ODB 网络数据库连接到 Amazon Redshift,以帮助分析不同数据库中的数据。您可以使用 AWS Glue 集成启动零 ETL 设置, APIs 并使用 ODB APIs 打开托管集成并设置网络路径。有关更多信息,请参阅与 Amazon Reds [hift 的零 ETL 集成](https://docs.aws.amazon.com/odb/latest/UserGuide/zero-etl-integration.html)。
## 注意事项
以下是托管零 ETL 集成的注意事项:
+ 如果您启用托管的零 ETL 集成,则只能使用零 ETL 来访问 ODB 网络中的实例。与您的服务网络关联的其他服务和资源与 Zero-ETL 隔离。
# 访问和共享 VPC 莱迪思实体
您还可以 VPCs 使用 VPC Lattice 将您的 ODB 网络连接到服务、资源和其他客户端。这些连接选项由VPC Lattice提供的默认服务网络、资源网关和服务网络终端节点提供支持。
## 访问莱迪思VPC服务和资源
要访问其他实体,请将您拥有或与您共享的服务或资源关联到默认服务网络。ODB 网络中的客户端可以通过默认服务网络端点访问服务或资源。
### 注意事项
以下是连接到其他 VPC 莱迪思实体的注意事项:
+ 您可以向服务网络添加新的服务网络终端节点、VPC 关联、VPC Lattice 资源和服务,但不能修改由 VPC Lattice 代表 ODB 网络配置的资源。这些必须通过进行管理 Oracle Database@AWS APIs。
## 通过 VPC 莱迪思共享您的 ODB 网络
您可以与其他客户 VPCs、账户或本地客户共享您的 ODB 网络资源。首先,请为要共享的资源创建资源配置。资源配置必须使用 ODB 网络的默认资源网关。然后,您可以将资源与您的默认服务网络相关联。
其他客户 VPCs 或 AWS 账户 与您共享服务网络的客户可以通过自己的服务网络终端节点或 VPC 关联访问这些资源。有关更多信息,请参阅 [管理 VPC Lattice 资源配置的关联](resource-configuration-associations.md)。
### 注意事项
以下是共享 ODB 网络的注意事项:
+ 我们建议仅将 ODB 网络实例作为基于 IP 的资源共享。
+ VPC Lattice 不支持 OCI 的单客户端访问名称 (SCAN) 侦听器 DNS。