Verbindung zu Oracle Cloud Infrastructure GoldenGate mit einer privaten IP herstellen

Mit OCI Bastion können Sie den Zugriff auf die OCI GoldenGate-Deployment-Konsole sichern.

Verwandte Themen

Überblick

Auf OCI GoldenGate kann nur über einen privaten Endpunkt innerhalb des OCI-Netzwerks zugegriffen werden oder über einen Bastionhost, der den Zugriff auf OCI-Ressourcen sichert. Wenngleich in diesem Schnellstartbeispiel OCI Bastion verwendet wird, können Sie auch eine eigene Bastion verwenden. Dieser Schnellstart enthält beide Optionen, sodass Sie die für Sie am besten geeignete auswählen können.

Beschreibung von qs-bastion.png folgt
Beschreibung der Abbildung qs-bastion.png

Bevor Sie beginnen

Sie benötigen Folgendes, um fortzufahren:

  • Entweder eine kostenlose Testversion oder einen kostenpflichtigen Oracle Cloud Infrastructure-Account
  • Zugriff auf OCI GoldenGate
  • Ein OCI GoldenGate-Deployment in einem privaten Subnetz und ohne öffentlichen Endpunkt
  • Für OCI Bastion:
    • Zugriff auf den Service
    • Zugriff auf OCI Bastion oder auf Ihre eigene Bastion in OCI Compute
  • Für Ihre eigene Bastion in OCI Compute:
    • Zugriff auf OCI Compute
    • Öffentliche und private Subnetze, die in jeder Availability-Domain konfiguriert sind

      Hinweis:

      Oracle empfiehlt, ein separates öffentliches Subnetz nur für Bastionhosts zu erstellen, um sicherzustellen, dass die entsprechende Sicherheitsliste dem richtigen Host zugewiesen ist.

Option A: OCI Bastion nutzen

Sie können OCI Bastion verwenden oder eine eigene Bastion verwenden. In diesem Beispiel wird OCI Bastion verwendet.

Hinweis:

Für US Government Cloud mit FedRAMP-Autorisierung müssen Sie Option B verwenden. Der OCI Bastion-Service ist derzeit in diesen Regionen nicht verfügbar.
  1. Erstellen Sie eine Bastion. Achten Sie auf Folgendes:
    1. Verwenden Sie das gleiche VCN wie das OCI GoldenGate-Ziel-Deployment und -Subnetz.

      Hinweis:

      Das Subnetz kann mit dem OCI GoldenGate-Deployment identisch sein oder aber Zugriff auf das OCI GoldenGate-Subnetz hat.
    2. Geben Sie die IP-Adressen der Rechner an, mit denen eine Verbindung zu OCI Bastion herzustellen ist, in die CIDR-Block-Ausnahmeliste ein.
  2. Erstellen Sie eine SSH-Portweiterleitungssession.
    1. Geben Sie unter IP-Adresse die private IP des OCI GoldenGate-Deployments an. Sie finden die private IP auf der Seite "Deployment-Details".
    2. Geben Sie unter Port die Nummer 443 ein.
    3. Unter SSH-Schlüssel hinzufügen geben Sie die Public-Key-Datei des SSH-Schlüsselpaares an, das für die Session verwendet werden soll.
  3. Nachdem die Session erstellt wurde, wählen Sie im Menü Aktionen (drei Punkte) der Session die OptionSSH-Befehl kopieren aus.
  4. Fügen Sie den Befehl in einen Texteditor ein, und ersetzen Sie dann die Platzhalter <privateKey> und <localPort> durch den Pfad zum Private Key und Port 443.
  5. Führen Sie den Befehl mit der Befehlszeilenschnittstelle (CLI) aus, um den Tunnel zu erstellen.
  6. Öffnen Sie einen Webbrowser, und gehen Sie zu https://localhost.

Hinweis:

  • Stellen Sie sicher, dass Sie eine Ingress-Regel für den Bastionhost in der Sicherheitsliste des privaten Subnetzes hinzufügen. Weitere Informationen.
  • Wenn die folgende Fehlermeldung angezeigt wird, 
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    dann müssen Sie einen Eintrag in der Hostdatei des Clientrechners hinzufügen, um 127.0.0.1 dem Deployment-FQDN zuzuordnen. Beispiel:

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

Option B: Eigene Bastion in OCI Compute nutzen

  1. Erstellen Sie eine Compute-Instanz im öffentlichen Subnetz, das sich im gleichen VCN befindet wie das OCI GoldenGate-Deployment.

    Hinweis:

    In diesem Beispiel lautet das CIDR des öffentlichen Subnetzes 10.0.0.0/24. Wenn Sie der Sicherheitsliste des privaten Subnetzes eine Ingress-Regel hinzufügen, wird derselbe CIDR-Wert verwendet.
  2. Prüfen Sie die Standardsicherheitsliste für das öffentliche Subnetz:
    1. Wählen Sie im Navigationsmenü der Oracle Cloud-Konsole die Option Networking, Virtual Cloud Networks aus.
    2. Wählen Sie in der Liste der Virtuellen Cloud-Netzwerke Ihr VCN aus, um die zugehörigen Details anzuzeigen.
    3. Klicken Sie auf der VCN-Detailseite auf Sicherheit, und wählen Sie die Standardsicherheitsliste für <das öffentliche Subnetz> aus.
    4. Klicken Sie auf der Detailseite der Standardsicherheitsliste auf Sicherheitsregeln. Diese Sicherheitsliste muss eine Regel für SSH-Zugriff enthalten:
      Zustandslos Quelle IP-Protokoll Quellportbereich Zielportbereich Typ und Code Lässt Folgendes zu
      Nr. 0.0.0.0/0 TCP Alle 22 N/V TCP-Traffic für folgende Ports: 22 (SSH-Remoteanmeldungsprotokoll)

      Wenn die Sicherheitsliste diese Regel nicht enthält, klicken Sie auf Ingress-Regeln hinzufügen, und schließen Sie das Formular mit den oben angegebenen Werten ab.

  3. Fügen Sie der Sicherheitsliste des privaten Subnetzes eine Ingress-Regel hinzu, um Verbindungen zu OCI GoldenGate aus dem öffentlichen Subnetz zuzulassen.
    1. Klicken Sie auf der VCN-Detailseite auf Sicherheit, und wählen Sie die Sicherheitsliste für privates Subnetz aus, um die zugehörigen Details anzuzeigen.
    2. Klicken Sie auf der Detailseite für die Sicherheitsliste für das private Subnetz auf Sicherheitsregeln. Klicken Sie auf Ingress-Regeln hinzufügen.
    3. Füllen Sie auf der Seite "Ingress-Regeln hinzufügen" die Felder folgendermaßen aus, und klicken Sie auf Ingress-Regeln hinzufügen:
      1. Wählen Sie unter Quelltyp die Option CIDR aus.
      2. Geben Sie unter Quell-CIDR den CIDR-Wert des öffentlichen Subnetzes (10.0.0.0/24) ein.
      3. Wählen Sie unter IP-Protokoll die Option TCP aus.
      4. Geben Sie unter Zielportbereich 443 ein.
  4. (Windows-Benutzer) Erstellen Sie eine Session, um mit PuTTY eine Verbindung zum Bastionhost herzustellen:
    1. Geben Sie auf der Konfigurationsseite der PuTTY-Session die öffentliche IP der Compute-Instanz für Hostname ein. Sie können 22 als Wert für Port beibehalten.
    2. Erweitern Sie unter der Kategorie "Connection" SSH, klicken Sie auf Auth, und klicken Sie auf "Browse" um nach dem privaten Subnetzwerk zu suchen, mit der Sie die Compute-Instanz erstellt hatten.
    3. Klicken Sie im Bereich "Kategorie" auf Tunnel, geben Sie 443 als Quellport und <deployment-hostname>:443 als Ziel an.
    4. (Optional) Kehren Sie zur Kategorie "Session" zurück, und speichern Sie die Sessiondetails.
    5. Klicken Sie auf Öffnen, um eine Verbindung herzustellen.
  5. (Linux-Benutzer) Erstellen Sie eine Session, um über die Befehlszeile eine Verbindung zum Bastionhost herzustellen:
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. Öffnen Sie nach der erfolgreichen Verbindung ein Browserfenster, und geben Sie https://localhost in die Adressleiste ein. Sie werden zur OCI GoldenGate-Deployment-Konsole weitergeleitet.

Bekannte Probleme

Fehler bei ungültiger Umleitungs-URL beim Zugriff auf ein IAM-fähiges Deployment mit einer IP

Beim Versuch, mit der IP-Adresse des Deployments auf ein IAM-fähiges Deployment zuzugreifen, tritt der folgende Fehler auf:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

Problemumgehung: Sie können eine der folgenden Aktionen ausführen:

Option 1: Fügen Sie der Identitätsdomainanwendung die Deployment-IP-Adresse hinzu. Um diese Änderung vornehmen zu können, müssen Sie Teil der Benutzergruppe sein, die der Anwendung zugewiesen ist.

  1. Wählen Sie im Oracle Cloud-Navigationsmenü die Option Identität und Sicherheit aus, und klicken Sie unter "Identität" auf Domains.
  2. Wählen Sie Ihre Domain aus der Liste Domains.
  3. Wählen Sie im Ressourcenmenü der Identitätsdomain die Option Oracle Cloud Services aus.
  4. Wählen Sie Ihre Anwendung aus der Oracle Cloud Services-Liste aus. Beispiel: GGS INFRA-Anwendung für Deployment-ID:<deployment OCID>.
  5. Klicken Sie auf der Anwendungsseite unter OAuth-Konfiguration auf OAuth-Konfiguration bearbeiten.
  6. Geben Sie unter Umleitungs-URL die Konsolen-URL des Deployments mit der IP des Deployments anstelle der Domain ein. Beispiel: https://<deployment-ip>/services/adminsrvr/v2/authorization.
  7. Speichern Sie die Änderungen.
Option 2: Fügen Sie einen Eintrag in der Hostdatei des Clientrechners hinzu, um 127.0.0.1 dem Deployment-FQDN zuzuordnen (ersetzen Sie <region> durch die entsprechende Region). Beispiel: 
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com