Documentación de Oracle Cloud Infrastructure

Conexión a Oracle Cloud Infrastructure GoldenGate mediante una IP privada

Utilice OCI Bastion para proteger el acceso a la consola de despliegue de OCI GoldenGate.

Visión general

Solo se puede acceder a OCI GoldenGate mediante un punto final privado desde la red de OCI o a través de un host bastión que proteja el acceso a los recursos de OCI. Si bien en este ejemplo de inicio rápido se utiliza OCI Bastion, es posible que utilice su propio bastión. Este inicio rápido incluye ambas opciones, por lo que puede elegir la que mejor se adapte a sus necesidades.

A continuación se muestra la descripción de qs-bastion.png
Descripción de la ilustración qs-bastion.png

Antes de empezar

Para continuar, debe tener lo siguiente:

  • Una prueba gratuita o una cuenta de Oracle Cloud Infrastructure de pago
  • Acceso a OCI GoldenGate
  • Un despliegue de OCI GoldenGate en una subred privada y sin un punto final público
  • Para OCI Bastion:
    • Acceso al servicio
    • Acceso a OCI Bastion o a su propio bastión en OCI Compute
  • Para su propio bastión en OCI Compute:
    • Acceso a OCI Compute
    • Subredes públicas y privadas configuradas en cada dominio de disponibilidad
      Nota

      Oracle recomienda crear una subred pública independiente únicamente para los hosts bastión a fin de garantizar que la lista de seguridad adecuada esté asignada al host correcto.

Opción A: Uso de OCI Bastion

Puede utilizar el OCI Bastion o un bastión propio. En este ejemplo se utiliza OCI Bastion.
Nota

Para la nube del Gobierno de EE. UU. con autorización FedRAMP, debe utilizar la opción B. El servicio OCI Bastion no está disponible actualmente en estas regiones.
  1. Crear un bastión. Asegúrese de que:
    1. Utilice la misma VCN que el despliegue y la subred de OCI GoldenGate de destino.
      Nota

      La subred puede ser la misma que el despliegue de OCI GoldenGate o una que tenga acceso a la subred de OCI GoldenGate.
    2. Incluya las direcciones IP de las máquinas utilizadas para conectarse a OCI Bastion en la lista de permitidos de bloque de CIDR.
  2. Cree una sesión de reenvío de puertos SSH.
    1. En Dirección IP, introduzca la IP privada del despliegue de OCI GoldenGate. Puede encontrar la IP privada en la página Detalles del despliegue.
    2. En Puerto, introduzca 443.
    3. En Agregar clave SSH, proporcione el archivo de clave pública del par de claves SSH que se utilizará para la sesión.
  3. Después de crear la sesión, en el menú Acciones (tres puntos) de la sesión, seleccione Copiar comando SSH.
  4. Pegue el comando en un editor de texto y, a continuación, sustituya los marcadores de posición <privateKey> y <localPort> por la ruta de acceso a la clave privada y al puerto 443.
  5. Ejecute el comando mediante la interfaz de línea de comandos para crear el túnel.
  6. Abra un explorador web y vaya a https://localhost.
Nota

  • Asegúrese de agregar una regla de entrada para el host bastión en la lista de seguridad de la subred privada. Más información.
  • Si se presenta el siguiente mensaje de error, 
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    a continuación, debe agregar una entrada en el archivo de hosts de la máquina cliente para asignar 127.0.0.1 al FQDN de despliegue. Por ejemplo:

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

Opción B: utilice su propio bastión en OCI Compute

  1. Cree una instancia informática en la subred pública de la misma VCN que el despliegue de OCI GoldenGate.
    Nota

    En este ejemplo, el CIDR de la subred pública es 10.0.0.0/24. Se utilizará el mismo valor de CIDR cuando agregue una regla de entrada a la lista de seguridad de subred privada.
  2. Compruebe la lista de seguridad por defecto para la subred pública:
    1. En el menú Oracle Cloud Console navigation menu, seleccione Red y, a continuación, Redes virtuales en la nube .
    2. En la lista de las redes virtuales en nube, seleccione su VCN para ver sus detalles.
    3. En la página de detalles de la VCN, haga clic en Seguridad y, a continuación, seleccione la lista Seguridad por defecto para <la subred pública>.
    4. En la página de detalles Lista de seguridad por defecto, haga clic en Reglas de seguridad. Esta lista de seguridad debe incluir una regla para el acceso SSH:
      Sin Estado Código fuente Protocolo IP Rango de puertos de origen Rango de puertos de destino Tipo y código Permite
      No 0.0.0.0/0 TCP Todas 22 NA Tráfico TCP para puertos: protocolo de conexión remota SSH 22

      Si la lista de seguridad no incluye esta regla, haga clic en Agregar reglas de entrada y complete el formulario con los valores anteriores.

  3. Agregue una regla de entrada a la lista de seguridad de subred privada para permitir la conectividad a OCI GoldenGate desde la subred pública.
    1. En la página de detalles de la VCN, haga clic en Seguridad y, a continuación, seleccione la lista de seguridad para subred privada para ver sus detalles.
    2. En la página de detalles Lista de seguridad para subred privada, haga clic en Reglas de seguridad. Haga clic en Agregar reglas de entrada.
    3. En la página Agregar Reglas de Entrada, complete los campos de la siguiente forma y, a continuación, haga clic en Agregar Reglas de Entrada:
      1. En Tipo de origen, seleccione CIDR.
      2. Para CIDR de origen, introduzca el valor de CIDR de la subred pública (10.0.0.0/24).
      3. En Protocolo IP, seleccione TCP.
      4. En Rango de puertos de destino, introduzca 443.
  4. (Usuarios de Windows) Cree una sesión para conectarse al host bastión mediante PuTTY:
    1. En la pantalla de configuración de la sesión PuTTY, introduzca la IP pública de la instancia informática para Nombre de host. Puede dejar 22 como valor para Puerto.
    2. En la categoría Conexión, amplíe SSH, haga clic en Autenticación y, a continuación, haga clic en Examinar para buscar la IP privada que ha utilizado para crear la instancia informática.
    3. Haga clic en Túneles en el panel Categoría, introduzca 443 para el puerto de origen y <deployment-hostname>:443 para el destino.
    4. (Opcional) Vuelva a la categoría Sesión y guarde los detalles de la sesión.
    5. Haga clic en Abrir para conectarse.
  5. (Usuarios de Linux) Cree una sesión para conectarse al host bastión mediante la línea de comandos:
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. Después de conectarse correctamente, abra una ventana del explorador e introduzca https://localhost en la barra de direcciones. Accederá a la consola de despliegue de OCI GoldenGate.

Incidencias conocidas

Error de URL de redirección no válida al intentar acceder a un despliegue activado para IAM mediante una IP

Al intentar acceder a un despliegue activado para IAM mediante la dirección IP del despliegue, se produce el siguiente error:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

Solución alternativa: puede realizar una de estas acciones:

Opción 1: agregue la dirección IP de despliegue a la aplicación de dominio de identidad. Para realizar este cambio, debe formar parte del grupo de usuarios asignado a la aplicación.

  1. En el menú de navegación de Oracle Cloud, seleccione Identidad y seguridad y, a continuación, en Identidad, haga clic en Dominios.
  2. Seleccione su dominio en la lista Dominios.
  3. En el menú de recursos Dominio de identidad del dominio, seleccione Oracle Cloud Services.
  4. Seleccione la aplicación de la lista Oracle Cloud Services. Por ejemplo, Aplicación GGS INFRA para ID de despliegue:<deployment OCID>.
  5. En la página de la aplicación, en la configuración de OAuth, haga clic en Editar configuración de OAuth.
  6. En URL de redirección, introduzca la URL de consola del despliegue con la IP del despliegue en lugar del dominio. Por ejemplo: https://<deployment-ip>/services/adminsrvr/v2/authorization.
  7. Guarde los cambios.
Opción 2: agregue una entrada en el archivo de hosts de la máquina cliente para asignar 127.0.0.1 al FQDN de despliegue (sustituya <region> por la región adecuada). Por ejemplo: 
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com