Conexión a Oracle Cloud Infrastructure GoldenGate mediante una IP privada

Utilice OCI Bastion para proteger el acceso a la consola de despliegue de OCI GoldenGate.

Temas relacionados

Visión general

Solo se puede acceder a OCI GoldenGate mediante un punto final privado desde la red de OCI o a través de un host bastión que proteja el acceso a los recursos de OCI. Si bien en este ejemplo de inicio rápido se utiliza OCI Bastion, es posible que utilice su propio bastión. Este inicio rápido incluye ambas opciones, por lo que puede elegir la que mejor se adapte a sus necesidades.

A continuación se muestra la descripción de qs-bastion.png
Descripción de la ilustración qs-bastion.png

Antes de empezar

Para continuar, debe tener lo siguiente:

  • Una prueba gratuita o una cuenta de Oracle Cloud Infrastructure de pago
  • Acceso a OCI GoldenGate
  • Un despliegue de OCI GoldenGate en una subred privada y sin un punto final público
  • Para OCI Bastion:
    • Acceso al servicio
    • Acceso a OCI Bastion o a su propio bastión en OCI Compute
  • Para su propio bastión en OCI Compute:
    • Acceso a OCI Compute
    • Subredes públicas y privadas configuradas en cada dominio de disponibilidad

      Note:

      Oracle recomienda crear una subred pública independiente únicamente para los hosts bastión a fin del control de seguridad que la lista adecuada esté asignada al host correcto.

Opción A: uso de OCI Bastion

Puede utilizar el OCI Bastion o un bastión propio. En este ejemplo se utiliza OCI Bastion.

Note:

Para la nube del Gobierno de EE. UU., con autorización FedRAMP, debe usar la opción B. El servicio OCI Bastion no está disponible actualmente en estas regiones.
  1. Crear un bastión. Asegúrese de que:
    1. Utilice la misma VCN que el despliegue y la subred de OCI GoldenGate de destino.

      Note:

      La subred puede ser la misma que el despliegue de OCI GoldenGate o una que tenga acceso a la subred de OCI GoldenGate.
    2. Incluya las direcciones IP de las máquinas utilizadas para conectarse a OCI Bastion en la lista de permitidos de bloque de CIDR.
  2. Cree una sesión de reenvío de puertos SSH.
    1. En Dirección de IP, introduzca la IP privada del despliegue de OCI GoldenGate. Puede encontrar la IP privada en la página Detalles del despliegue.
    2. En Puerto, introduzca 443.
    3. En Agregar clave SSH, proporcione el archivo de clave pública del par para la sesión que se utilizará para la sesión.
  3. Después de crear la sesión, en el menú Acciones (tres puntos) de esta sesión, seleccione Copiar comando SSH.
  4. Pegue el comando en un editor de texto y, a continuación, sustituya los marcadores de posición <privateKey> y <localPort> por la ruta de acceso a la clave privada y al puerto 443.
  5. Ejecute el comando mediante la interfaz de línea de comandos para crear el túnel.
  6. Abra un explorador web y vaya a https://localhost.

Note:

  • Asegúrese de agregar una regla de entrada para el host Bastion en la lista de seguridad de la subred privada. Más información.
  • Si encuentra el siguiente mensaje de error, 
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    a continuación, debe agregar una entrada en el archivo de hosts de la máquina cliente para asignar 127.0.0.1 al FQDN de despliegue. Por ejemplo:

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

Opción B: uso del propio bastión en OCI Compute

  1. Cree una instancia informática en la subred pública de la misma VCN que el despliegue de OCI GoldenGate.

    Note:

    En este ejemplo, el CIDR de una subred pública es 10.0.0.0/24. Se utilizará el mismo valor de CIDR cuando agregue una regla de entrada a la lista de seguridad de subred privada.
  2. Compruebe la lista de seguridad por defecto para la subred pública:
    1. En el menú Red de la consola de Oracle Cloud, seleccione Redes virtuales en la nube y, a continuación,
    2. En la lista de las redes virtuales en nube, seleccione su VCN para ver sus detalles.
    3. En la página de detalles de la VCN, haga clic en Seguridad y, a continuación, seleccione la lista Seguridad por defecto para <la subred pública>.
    4. En la página de detalles Lista de seguridad por defecto, haga clic en Reglas de seguridad. Esta lista de seguridad debe incluir una regla para el acceso SSH:
      Sin Estado Origen Protocolo IP Rango de puertos de origen Rango de puertos de destino Tipo y código Permite
      N.º 0.0.0.0/0 TCP Todas 22 No disponible Tráfico TCP para puertos: protocolo de conexión remota SSH 22

      Si la lista de seguridad no incluye esta regla, haga clic en Agregar Reglas de Entrada y complete el formulario con los valores anteriores.

  3. Agregue una regla de entrada a la lista de seguridad de subred privada para permitir la conectividad a OCI GoldenGate desde la subred pública.
    1. En la página de detalles de la VCN, haga clic en Seguridad y, a continuación, seleccione la lista de seguridad para subred privada para ver sus detalles.
    2. En la página de detalles Lista de seguridad para subred privada, haga clic en Reglas de seguridad. Haga clic en Agregar reglas de entrada.
    3. En la página Agregar Reglas de Entrada, complete los campos de la siguiente forma y, a continuación, haga clic en Agregar Reglas de Entrada:
      1. En Tipo de origen, seleccione CIDR.
      2. Para CIDR de destino, introduzca el valor del CIDR de una subred pública (10.0.0.0/24).
      3. En Protocolo IP, seleccione TCP.
      4. Para Destination Port Range, introduzca 443.
  4. (Usuarios de Windows) Cree una sesión para conectarse al host bastión mediante PuTTY:
    1. En la pantalla PuTTY Configuración de sesión, introduzca la IP pública de una instancia informática para Nombre de host. Puede dejar 22 como valor para Puerto.
    2. En la categoría Conexión, amplíe SSH, haga clic en Autenticación y, a continuación, haga clic en Examinar para buscar la propiedad privada que haya utilizado para crear la instancia informática.
    3. Haga clic en la opción Túneles en el panel Categoría, introduzca 443 para los puertos de origen y <deployment-hostname>:443 para los destinos.
    4. (Opcional) Vuelva a la categoría Sesión y guarde los detalles de la sesión.
    5. Haga clic en Abrir para conectarse.
  5. (Usuarios de Linux) Cree una sesión para conectarse al host bastión mediante la línea de comandos:
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. Después de conectarse correctamente, abra una ventana del explorador e introduzca https://localhost en la barra de direcciones. Accederá a la consola de despliegue de OCI GoldenGate.

Incidencias conocidas

Error de URL de redirección no válido al intentar acceder a un despliegue activado para IAM mediante una IP

Al intentar acceder a un despliegue activado para IAM mediante la dirección IP del despliegue, aparece el siguiente error:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

Solución alternativa: puede realizar una de las siguientes acciones:

Opción 1: agregue la dirección IP de despliegue a la aplicación de dominio de identidad. Para realizar este cambio, debe formar parte del grupo de usuarios asignado a la aplicación.

  1. En el menú de navegación de Oracle Cloud, seleccione Identidad y seguridad y, a continuación, en Identidad, haga clic en Dominios.
  2. Seleccione su dominio en la lista Dominios.
  3. En el menú de recursos Dominio de identidad del dominio, seleccione Oracle Cloud Services.
  4. Seleccione la aplicación en la lista de Oracle Cloud Services. Por ejemplo, Aplicación GGS INFRA para ID de despliegue:<deployment OCID>.
  5. En la página de la aplicación, en Configuración OAuth, haga clic en Editar configuración OAuth.
  6. En URL de redirección, introduzca la URL de consola del despliegue con la IP del despliegue en lugar del dominio. Por ejemplo: https://<deployment-ip>/services/adminsrvr/v2/authorization.
  7. Guarde los cambios.
Opción 2: agregue una entrada en el archivo de hosts de la máquina cliente para asignar 127.0.0.1 al FQDN de despliegue (sustituya <region> por la región adecuada). Por ejemplo: 
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com