Oracle Cloud Infrastructure-Dokumentation

Verbindung zu Sessions in Bastion herstellen

In diesem Thema wird beschrieben, wie Sie eine Verbindung zu Bastion-Sessions herstellen.

Informationen zum Erstellen und Verwalten der Bastion-Sessions finden Sie unter Sessions in Bastion verwalten. Informationen zum Erstellen und Verwalten von Bastionen finden Sie unter Bastionen verwalten.

Bastionen sind von Oracle verwaltete Services. Mit einer Bastion können Sie Secure Shell-(SSH-)Sessions erstellen, die den Zugriff auf andere private Ressourcen ermöglichen. Sie können jedoch keine direkte SSH-Verbindung zu einer Bastion herstellen und diese wie einen herkömmlichen Host verwalten oder überwachen.

Beim Herstellen einer Verbindung zu einer Bastionsession wird empfohlen, die unter Bastion sichern beschriebenen Best Practices für SSH zu befolgen.

Sie können sich bei den folgenden Sessiontypen anmelden:

Erforderliche IAM-Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss Ihnen von einem Administrator Sicherheitszugriff in einer Policy erteilt werden. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen zugewiesen wurde und in welchem Compartment Sie arbeiten sollen.

Um alle Bastion-Features verwenden zu können, benötigen Sie die folgenden Berechtigungen:

  • Bastionen, Sessions und Netzwerke verwalten
  • Compute-Instanzen lesen
  • Compute-Instanz-Agent-(Oracle Cloud Agent-)Plug-ins lesen
  • Arbeitsanforderungen prüfen
Beispiel-Policy:
Allow group SecurityAdmins to manage bastion-family in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Ausführliche Policy-Informationen und weitere Beispiele finden Sie unter IAM-Policys für Bastion.

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys.

Netzwerkzugriff von der Bastion zulassen

Das VCN (virtuelle Cloud-Netzwerk) , in dem die Zielressource erstellt wurde, muss eingehenden Netzwerktraffic von der Bastion auf dem Zielport zulassen.

Beispiel: Wenn Sie mit einer Session eine Verbindung zu Port 8001 auf einer Compute-Instanz  von einer Bastion mit der IP-Adresse 192.168.0.99 aus herstellen möchten, muss das für den Zugriff auf die Instanz verwendete Subnetz Ingress-Traffic von 192.168.0.99 auf Port 8001 zulassen.

  1. Suchen Sie auf der Listenseite Bastionen die Bastion, mit der Sie arbeiten möchten. Informationen zum Suchen der Listenseite oder Bastion finden Sie unter Bastionen auflisten.
  2. Wählen Sie den Namen der Bastion aus.
  3. Kopieren Sie die IP-Adresse des privaten Endpunkts.
  4. Wählen Sie das Zielsubnetz aus.

    Wenn sich die Zielressource in einem anderen als dem von der Bastion für den Zugriff auf dieses VCN verwendete Subnetz befindet, bearbeiten Sie das Subnetz der Zielressource.

  5. Klicken Sie auf der Seite Subnetzdetails auf eine vorhandene Sicherheitsliste, die diesem Subnetz zugewiesen ist.

    Alternativ können Sie eine Sicherheitsliste erstellen und diesem Subnetz zuweisen.

  6. Wählen Sie Ingress-Regeln hinzufügen aus.
  7. Geben Sie unter Quell-CIDR einen CIDR-Block ein, der die IP-Adresse des privaten Endpunkts der Bastion enthält.

    Beispiel: Der CIDR-Block <bastion_private_IP>/32 enthält nur die IP-Adresse der Bastion.

  8. Wählen Sie unter IP-Protokoll die Option TCP aus.
  9. Geben Sie unter Zielportbereich die Portnummer in der Zielressource ein.

    Geben Sie für verwaltete SSH-Sessions Port 22 an.

  10. Wählen Sie Ingress-Regeln hinzufügen aus.

Weitere Informationen finden Sie unter Sicherheitslisten.