Se connecter à GoldenGate pour Oracle Cloud Infrastructure à l'aide d'une adresse IP privée

Utilisez l'hôte bastion OCI pour sécuriser l'accès à votre console de déploiement GoldenGate pour OCI.

Aperçu

Le service GoldenGate pour OCI est accessible uniquement à l'aide d'un point d'extrémité privé du réseau OCI ou par l'intermédiaire d'un hôte bastion qui sécurise l'accès aux ressources OCI. Bien que cet exemple de démarrage rapide utilise l'hôte bastion OCI, vous pouvez utiliser votre propre hôte bastion. Ce démarrage rapide inclut les deux options, ce qui vous permet de choisir celle qui vous convient le mieux.

Une description de qs-bastion.png suit
Description de l'illustration qs-bastion.png

Avant de commencer

Pour continuer, vous devez disposer des éléments suivants :

  • Un essai gratuit ou un compte Oracle Cloud Infrastructure payant
  • Accès à GoldenGate pour OCI
  • Un déploiement de GoldenGate pour OCI dans un sous-réseau privé et sans point d'extrémité public
  • Pour l'hôte bastion OCI :
    • Accès au service
    • Accès à un hôte bastion OCI ou à votre propre hôte bastion dans le service de calcul pour OCI
  • Pour votre propre hôte bastion dans le service de calcul pour OCI :
    • Accès au service de calcul pour OCI
    • Sous-réseaux publics et privés configurés dans chaque domaine de disponibilité

      Note :

      Oracle recommande de créer un sous-réseau public distinct uniquement pour les hôtes bastion afin de s'assurer que la liste de sécurité appropriée soit affectée à l'hôte approprié.

Option A : Utiliser l'hôte base OCI

Vous pouvez utiliser l'hôte bastion OCI ou votre propre hôte bastion. Cet exemple utilise l'hôte bastion OCI.

Note :

Pour le nuage gouvernemental des États-Unis avec autorisation FedRAMP, vous devez utiliser l'option B. Le service d'hôte bastion pour OCI n'est pas disponible actuellement dans ces régions.
  1. Créez un hôte bastion. Veillez à :
    1. Utiliser le même VCN que le déploiement et le sous-réseau GoldenGate pour OCI cible.

      Note :

      Le sous-réseau peut être le même que le déploiement OCI GoldenGate ou un sous-réseau qui a accès au sous-réseau OCI GoldenGate.
    2. Inclure les adresses IP des machines utilisées pour la connexion à l'hôte bastion OCI dans la liste d'autorisation du bloc CIDR.
  2. Créez une session de réacheminement de port SSH.
    1. Pour Adresse IP, entrez l'adresse IP privée du déploiement d'OCI GoldenGate. Cette adresse IP privée figure dans la page Détails du déploiement.
    2. Pour Port, entrez 443.
    3. Sous Ajouter une clé SSH, fournissez le fichier de clé publique de la paire de clés SSH à utiliser pour la session.
  3. Une fois la session créée, sélectionnez Copier la commande SSH dans le menu Actions (trois points) de la session.
  4. Collez la commande dans un éditeur de texte, puis remplacez les paramètres fictifs <privateKey> et <localPort> par le chemin d'accès à la clé privée et le port 443.
  5. Exécutez la commande à l'aide de l'interface de ligne de commande pour créer le tunnel.
  6. Ouvrez un navigateur Web et allez à https://localhost.

Note :

  • Assurez-vous d'ajouter une règle de trafic entrant pour l'hôte bastion dans la liste de sécurité du sous-réseau privé. En savoir plus.
  • Si vous rencontrez le message d'erreur suivant,
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    vous devez alors ajouter une entrée dans le fichier d'hôtes de votre machine client pour mapper 127.0.0.1 à votre nom de domaine complet de déploiement. Par exemple :

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

Option B : Utiliser votre propre hôte base dans le service de calcul pour OCI

  1. Créez une instance de calcul dans le sous-réseau public du même VCN que le déploiement de GoldenGate pour OCI.

    Note :

    Dans cet exemple, le bloc CIDR du sous-réseau public est 10.0.0.0/24. La même valeur CIDR sera utilisée lorsque vous ajouterez une règle de trafic entrant à la liste de sécurité du sous-réseau privé.
  2. Vérifiez la liste de sécurité par défaut du sous-réseau public :
    1. Dans le menu de navigation de la console Oracle Cloud, sélectionnez Réseau, puis Réseaux en nuage virtuels.
    2. Dans la liste de réseaux en nuage virtuels, sélectionnez votre VCN pour voir ses détails.
    3. Dans la page des détails du VCN, cliquez sur Sécurité, puis sélectionnez la liste de sécurité par défaut pour <le sous-réseau public>.
    4. Dans la page des détails de la liste de sécurité par défaut, cliquez sur Règles de sécurité. Cette liste de sécurité doit comporter une règle pour l'accès SSH :
      Sans état Source Protocole IP Intervalle de ports sources Intervalle de ports de destination Type et code Autorise
      Non 0.0.0.0/0 TCP Tous 22 S.O Trafic TCP pour les ports : 22 - Protocole de connexion à distance SSH

      Si la liste de sécurité ne comporte pas cette règle, cliquez sur Ajouter des règles de trafic entrant et remplissez le formulaire en indiquant les valeurs ci-dessus.

  3. Ajoutez une règle de trafic entrant à la liste de sécurité du sous-réseau privé pour permettre la connectivité à GoldenGate pour OCI à partir du sous-réseau public.
    1. Dans la page des détails du VCN, cliquez sur Sécurité, puis sélectionnez la liste de sécurité pour le sous-réseau privé pour en voir les détails.
    2. Dans la page Liste de sécurité pour les détails du sous-réseau privé, cliquez sur Règles de sécurité. Cliquez sur Ajouter des règles de trafic entrant.
    3. Dans la page Ajouter des règles de trafic entrant, remplissez les champs comme suit, puis cliquez sur Ajouter des règles de trafic entrant :
      1. Pour Type de source, sélectionnez CIDR.
      2. Pour CIDR source, entrez la valeur CIDR du sous-réseau public (10.0.0.0/24).
      3. Pour Protocole IP, sélectionnez TCP.
      4. Pour Intervalle de ports de destination, entrez 443.
  4. (Utilisateurs Windows) Créez une session pour vous connecter à l'hôte bastion à l'aide de PuTTY :
    1. Dans l'écran de configuration de la session PuTTY, entrez l'adresse IP publique de l'instance de calcul pour Nom d'hôte. Vous pouvez laisser 22 comme valeur pour Port.
    2. Dans la catégorie Connexion, développez SSH, cliquez sur Auth, puis cliquez sur Parcourir pour localiser le fichier de clé privée que vous avez utilisé pour créer l'instance de calcul.
    3. Cliquez sur Tunnels dans le panneau Catégorie, entrez 443 pour le port source et <deployment-hostname>:443 pour Destination.
    4. (Facultatif) Retournez à la catégorie Session et enregistrez les détails de la session.
    5. Cliquez sur Ouvrir pour vous connecter.
  5. (Utilisateurs Linux) Créez une session pour vous connecter à l'hôte bastion à l'aide de la ligne de commande :
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. Une fois connecté, ouvrez une fenêtre de navigateur et entrez https://localhost dans la barre d'adresse. Vous accédez à la console de déploiement de GoldenGate pour OCI.

Problèmes connus

Erreur d'URL de redirection non valide lors de la tentative d'accès à un déploiement activé pour IAM à l'aide d'une adresse IP

Lorsque vous tentez d'accéder à un déploiement activé pour IAM à l'aide de l'adresse IP du déploiement, l'erreur suivante se produit :

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

Solution de rechange : Vous pouvez effectuer l'une des actions suivantes :

Option 1 : Ajoutez l'adresse IP de déploiement à votre application de domaine d'identité. Pour effectuer cette modification, vous devez faire partie du groupe d'utilisateurs affecté à l'application.

  1. Dans le menu de navigation d'Oracle Cloud, sélectionnez Identité et sécurité, puis, sous Identité, cliquez sur Domaines.
  2. Sélectionnez votre domaine dans la liste Domaines.
  3. Dans le menu de ressources du domaine d'identité du domaine, sélectionnez Oracle Cloud Services.
  4. Sélectionnez votre application dans la liste Oracle Cloud Services. Par exemple, Application GGS INFRA pour l'ID déploiement :<deployment OCID>.
  5. Dans la page de l'application sous Configuration OAuth, cliquez sur Modifier la configuration OAuth.
  6. Pour URL de redirection, entrez l'URL de la console du déploiement avec l'adresse IP du déploiement à la place du domaine. Par exemple : https://<deployment-ip>/services/adminsrvr/v2/authorization.
  7. Enregistrer les modifications.
Option 2 : Ajoutez une entrée dans le fichier des hôtes de votre machine client pour mapper 127.0.0.1 à votre nom de domaine complet de déploiement (remplacez <region> par la région appropriée). Par exemple :
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com