機械翻訳について

プライベートIPを使用したOracle Cloud Infrastructure GoldenGateへの接続

OCI Bastionを使用して、OCI GoldenGateデプロイメント・コンソールへのアクセスを保護します。

関連トピック

概要

OCI GoldenGateには、OCIネットワーク内からプライベート・エンドポイントを使用するか、OCIリソースへのアクセスを保護するバスチョン・ホストを介してのみアクセスできます。 このクイックスタート例ではOCI Bastionを使用していますが、「自分のバスチョンの使用」を使用できます。 このクイックスタートには両方のオプションが含まれているため、最適なオプションを選択できます。

qs-bastion.pngの説明は以下のとおりです
「図qs-bastion.pngの説明」

始める前に

続行するには、次のものが必要です:

  • 無料トライアルまたは有料Oracle Cloud Infrastructureアカウント
  • OCI GoldenGateへのアクセス
  • プライベート・サブネット内およびパブリック・エンドポイントのないOCI GoldenGateデプロイメント
  • OCI Bastionの場合:
    • サービスへのアクセス
    • OCI BastionまたはOCI Compute上で独自のバスチョンへのアクセス
  • OCI Computeの要点:
    • OCI Computeへのアクセス
    • 各可用性ドメインに構成されたパブリック・サブネットとプライベート・サブネット

      ノート:

      Oracleでは、適切なセキュリティ・リストが適切なホストに割り当てられていることを確認するために、ホストに対してのみ個別のパブリック・サブネットを作成することをお薦めします。

オプションA: OCIバスチョンの使用

OCI Bastionを使用するか、独自のバスチョンを使用できます。 この例ではOCI Bastionを使用します。

ノート:

FedRAMP認可を使用するUS Government Cloudの場合、オプションBを使用する必要があります。 OCI Bastionサービスは、現在これらのリージョンでは使用できません。
  1. 要塞の作成 次のことに注意してください。
    1. ターゲットOCI GoldenGateデプロイメントおよびサブネットと同じVCNを使用します。

      ノート:

      サブネットは、OCI GoldenGateデプロイメントと同じか、OCI GoldenGateサブネットにアクセスできるサブネットになります。
    2. 「CIDRブロック許可リスト」に、OCIバスチョンへの接続に使用するマシンのIPアドレスを含めます。
  2. 「SSHポート転送セッションの作成」
    1. 「IPアドレス」に、OCI GoldenGateデプロイメント・プライベートIPを入力します。 プライベートIPは、デプロイメントの詳細ページで確認できます。
    2. 「ポート」には、443と入力します。
    3. 「SSHキーの追加」で、セッションに使用するSSHキー・ペアの公開キー・ファイルを指定します。
  3. セッションの作成後、セッション「アクション」 (3つのドット)メニューから「SSHコマンドのコピー」を選択します。
  4. コマンドをテキスト・エディタに貼り付け、<privateKey>および<localPort>プレースホルダーを秘密キーおよびポート443へのパスに置き換えます。
  5. コマンドライン・インタフェースを使用してコマンドを実行し、トンネルを作成します。
  6. webブラウザを開き、https://localhostに移動します。

ノート:

  • プライベート・サブネット・セキュリティ・リストのバスチョン・ホストにイングレス・ルールを追加してください。 さらに学ぶ
  • 次のエラー・メッセージが表示された場合は、 
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    127.0.0.1をデプロイメントFQDNにマップするには、クライアント・マシンのhostsファイルにエントリを追加する必要があります。 たとえば: 

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

オプションB: OCI Computeで独自のバスチョンを使用

  1. OCI GoldenGateデプロイメントと同じVCNのパブリック・サブネットにコンピュート・インスタンスを作成します。

    ノート:

    この例では、パブリック・サブネットCIDRは10.0.0.0/24です。 プライベート・サブネット・セキュリティ・リストにイングレス・ルールを追加すると、同じCIDR値が使用されます。
  2. パブリック・サブネットのデフォルト・セキュリティ・リストを確認します:
    1. Oracle Cloudコンソールのナビゲーション・メニューから、「ネットワーク」「仮想クラウド・ネットワーク」の順に選択します。
    2. 仮想クラウド・ネットワークのリストから、VCNを選択してその詳細を表示します。
    3. VCNの詳細ページで、「セキュリティ」をクリックし、「<the public subnet>のデフォルト・セキュリティ・リスト」を選択します。
    4. デフォルト・セキュリティ・リストの詳細ページで、「セキュリティ・ルール」をクリックします。 このセキュリティ・リストには、SSHアクセスのルールが含まれている必要があります:
      ステートレス ソース IPプロトコル 搬送元港範囲 宛先ポート範囲 タイプおよびコード 許可
      いいえ 0.0.0.0/0 TCP すべて 22 該当なし ポートのTCPトラフィック: 22 SSHリモート・ログイン・プロトコル

      セキュリティ・リストにこのルールが含まれていない場合は、「イングレス・ルールの追加」をクリックし、前述の値を使用してフォームを完了します。

  3. プライベート・サブネットのセキュリティ・リストにイングレス・ルールを追加して、パブリック・サブネットからOCI GoldenGateへの接続を許可します。
    1. VCNの詳細ページで、「セキュリティ」をクリックし、「プライベート・サブネットのセキュリティ・リスト」を選択してその詳細を表示します。
    2. 「プライベート・サブネットのセキュリティ・リスト」詳細ページで、「セキュリティ・ルール」をクリックします。 「イングレス・ルールの追加」をクリックします。
    3. 「イングレス・ルールの追加」ページで、次のようにフィールドに入力し、イングレス・ルールの追加をクリックします:
      1. 「ソース・タイプ」で、CIDRを選択します。
      2. 「ソースCIDR」には、パブリック・サブネットCIDR値(10.0.0.0/24)を入力します。
      3. 「IPプロトコル」で、TCPを選択します。
      4. 「宛先ポート範囲」には、443と入力します。
  4. (Windowsユーザー) PuTTYを使用して要塞ホストに接続するセッションを作成します:
    1. PuTTYセッション構成画面で、コンピュート・インスタンスの「ホスト名」のパブリックIPを入力します。 22は、「ポート」の値のままにできます。
    2. 「接続」カテゴリで、SSHを展開し、「認証」をクリックし、「参照」をクリックして、コンピュート・インスタンスの作成に使用したプライベートを見つけます。
    3. 「カテゴリ」パネルでトンネルをクリックし、「ソース・ポート」に443、「宛先」に<deployment-hostname>:443と入力します。
    4. (オプション)「Session」カテゴリに戻り、セッションの詳細を保存します。
    5. 「オープン」をクリックして接続します。
  5. (Linuxユーザー)コマンドラインを使用して要塞ホストに接続するセッションを作成します:
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. 正常に接続したら、ブラウザ・ウィンドウを開き、アドレス・バーにhttps://localhostと入力します。 OCI GoldenGateデプロイメント・コンソールに移動します。

既知の問題

IPを使用してIAM対応デプロイメントにアクセスしようとして無効なリダイレクトURLエラー

デプロイメントのIPアドレスを使用してIAM対応デプロイメントにアクセスしようとすると、次のエラーが発生します:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

回避策: 次のいずれかを実行できます:

オプション1: アイデンティティ・ドメイン・アプリケーションにデプロイメントIPアドレスを追加します。 この変更を行うには、アプリケーションに割り当てられたユーザー・グループの一部である必要があります。

  1. Oracle Cloudナビゲーション・メニューで、「アイデンティティ&セキュリティ」を選択し、「アイデンティティ」で「ドメイン」をクリックします。
  2. 「ドメイン」リストからドメインを選択します。
  3. ドメインの「アイデンティティ・ドメイン」リソース・メニューから、Oracle Cloud Servicesを選択します。
  4. Oracle Cloud Servicesリストからアプリケーションを選択します。 たとえば、デプロイメントIDのGGS INFRAアプリケーション:<deployment OCID>です。
  5. アプリケーション・ページのOAuth構成で、「OAuth構成の編集」をクリックします。
  6. 「リダイレクトURL」に、デプロイメントのコンソールURLをドメインのかわりにデプロイメントのIPとともに入力します。 たとえば: https://<deployment-ip>/services/adminsrvr/v2/authorization
  7. 変更を保存します。
オプション2: クライアント・マシン・ホスト・ファイルにエントリを追加して、127.0.0.1をデプロイメントFQDNにマップします(<region>を適切なリージョンに置き換えます)。 たとえば: 
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com