Conexión a Oracle Cloud Infrastructure GoldenGate mediante una IP privada

Descubra cómo crear, configurar y utilizar OCI Bastion con el fin de proteger el acceso a su consola de despliegue de OCI GoldenGate.

Visión general

Solo se puede acceder a OCI GoldenGate mediante un punto final privado desde la red de OCI o a través de un host bastión que proteja el acceso a los recursos de OCI. Si bien en este caso de inicio rápido se utiliza OCI Bastion, es posible que utilice su propio bastión. Este inicio rápido incluye ambas opciones, por lo tanto, puede seleccionar la que mejor le funcione.

A continuación se muestra la descripción de qs-bastion.png

Descripción de la ilustración qs-bastion.png

Antes de empezar

Para continuar, debe tener lo siguiente:

Opción A: uso de OCI Bastion

Puede utilizar el OCI Bastion o un bastión propio. En este ejemplo se utiliza OCI Bastion.

  1. Crear un bastión. Asegúrese de que:

    1. Utilice la misma VCN que el despliegue y la subred de OCI GoldenGate de destino.

      Nota: La subred puede ser la misma que el despliegue de OCI GoldenGate o una que tenga acceso a la subred de OCI GoldenGate.

    2. Incluya las direcciones IP de los sistemas utilizados para conectarse a OCI Bastion en la lista de permitidos de bloques de CIDR.

  2. Cree una sesión de reenvío de puertos SSH.

    1. En Dirección de IP, introduzca la IP privada del despliegue de OCI GoldenGate. Puede encontrar la IP privada en la página Detalles del despliegue.

    2. En Puerto, introduzca 443.

    3. En Agregar clave SSH, proporcione el archivo de clave pública del par que se utilizará para la sesión.

  3. Después de crear la sesión, en el menú Acciones (tres puntos) de esta sesión, seleccione Copiar comando SSH.

  4. Pegue el comando en un editor de texto y, a continuación, sustituya los marcadores de posición <privateKey> y <localPort> por la ruta de acceso a la clave privada y al puerto 443.

  5. Ejecute el comando mediante la interfaz de línea de comandos para crear el túnel.

  6. Abra un explorador web y vaya a https://localhost.

    Nota:

    • Asegúrese de agregar una regla de entrada para el host Bastion en la lista de seguridad de la subred privada. Más información.

    • Si encuentra el siguiente mensaje de error,

      {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

      a continuación, debe agregar una entrada en el archivo de hosts de cliente para asignar 127.0.0.1 al FQDN de despliegue. Por ejemplo:

      127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

Opción B: uso del propio bastión en OCI Compute

  1. Cree una instancia informática en la subred pública de la misma VCN que el despliegue de OCI GoldenGate.

    Nota: En este ejemplo, el CIDR de las subredes públicas es 10.0.0.0/24. Se utilizará el mismo valor de CIDR cuando agregue una regla de entrada a la lista de seguridad de subred privada.

  2. Compruebe la lista de seguridad por defecto para la subred pública:

    1. En el menú Oracle Cloud Console navigation menu, seleccione Networking y, a continuación, Virtual cloud networks.

    2. En la lista de las redes virtuales en el nube, seleccione su VCN para ver sus detalles.

    3. En la página de detalles de la VCN, seleccione Seguridad y, a continuación, seleccione la lista Seguridad por defecto para <la subred pública>.

    4. En la página de detalles Lista de seguridad por defecto, seleccione Reglas de seguridad. Esta lista de seguridad debe incluir una regla para el acceso SSH:

      Sin Estado Origen Protocolo IP Rango de puertos de origen Rango de puertos de destino Tipo y código Permite
      N.º 0.0.0.0/0 TCP Todas 22 No disponible Tráfico TCP para puertos: protocolo de conexión remota SSH 22

      Si la lista del sistema de seguridad no incluye esta regla, seleccione Agregar reglas del sistema de entrada y complete el formulario con los valores anteriores.

  3. Agregue una regla de entrada a la lista de seguridad de subred privada para permitir la conectividad a OCI GoldenGate desde la subred pública.

    1. En la página de detalles de la VCN, seleccione Seguridad y, a continuación, seleccione la Lista de seguridad para subred privada para ver sus detalles.

    2. En la página de detalles Lista de seguridad para subred privada, seleccione Reglas de seguridad. Seleccione Agregar reglas de entrada.

    3. En la página Agregar Reglas de Entrada, complete los campos de la siguiente forma y, a continuación, seleccione Agregar Reglas de Entrada:

      1. En Tipo de origen, seleccione CIDR.

      2. Para CIDR de destino, introduzca el valor del CIDR de una subred pública (10.0.0.0/24).

      3. En Protocolo IP, seleccione TCP.

      4. Para Destination Port Range, introduzca 443.

  4. (Usuarios de Windows) Cree una sesión para conectarse al host bastión mediante PuTTY:

    1. En la pantalla PuTTY Session Configuration (Configuración de sesión PuTTY), introduzca la IP pública de las instancias informáticas para Nombre de host. Puede dejar 22 como valor para Puerto.

    2. En la categoría Conexión, amplíe SSH, seleccione Autenticación y, a continuación, seleccione Examinar para buscar la propiedad privada que haya utilizado para crear la instancia informática.

    3. En el panel Categoría, seleccione Túneles, introduzca 443 para los puertos de origen y <deployment-hostname>:443 para los destinos.

    4. (Opcional) Vuelva a la categoría Sesión y guarde los detalles de la sesión.

    5. Seleccione Abrir para conectarse.

  5. (Usuarios de Linux) Cree una sesión para conectarse al host bastión mediante la línea de comandos:

    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N

  6. Después de conectarse correctamente, abra una ventana del explorador e introduzca https://localhost en la barra de direcciones. Accederá a la consola de despliegue de OCI GoldenGate.

Incidencias conocidas

Error de URL de redirección no válido al intentar acceder a un despliegue activado para IAM mediante una IP

Al intentar acceder a un despliegue activado para IAM mediante la dirección IP del despliegue, aparece el siguiente error:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

Solución alternativa: puede realizar una de las siguientes acciones:

Opción 1: agregue la dirección IP de despliegue a la aplicación de dominio de identidad. Para realizar este cambio, debe formar parte del grupo de usuarios asignado a la aplicación.

  1. En el menú de navegación de Oracle Cloud, seleccione Identidad y seguridad y, a continuación, en Identidad, seleccione Dominios.

  2. Seleccione su dominio en la lista Dominios.

  3. En el menú de recursos Dominio de identidad del dominio, seleccione Oracle Cloud Services.

  4. Seleccione la aplicación en la lista de Oracle Cloud Services. Por ejemplo, Aplicación GGS INFRA para ID de despliegue:<OCID de despliegue>.

  5. En la página de la aplicación en Configuración de OAuth, seleccione Editar configuración de OAuth.

  6. En URL de redirección, introduzca la URL de consola del despliegue con la IP del despliegue en lugar del dominio. Por ejemplo: https://<deployment-ip>/services/adminsrvr/v2/authorization.

  7. Guarde los cambios.

Opción 2: agregue una entrada en el archivo de hosts de cliente para asignar 127.0.0.1 al FQDN de despliegue (sustituya <region> por la región adecuada). Por ejemplo:

127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com