Documentation sur Oracle Cloud Infrastructure

Accéder à OAC privé au moyen d'un équilibreur de charge public ou d'un hôte bastion

L'analyse des ressources peut créer des instances Oracle Analytics Cloud dans le cadre de la solution permettant aux clients d'analyser les données. OAC peut être provisionné avec un point d'extrémité public ou privé (vous sélectionnez lors du provisionnement). Par défaut, OAC est provisionné avec un point d'extrémité privé. Les utilisateurs disposant d'un point d'extrémité public OAC peuvent ignorer cette section. Pour accéder à ces instances à partir de leurs ordinateurs portables, un sous-réseau public et un équilibreur de charge public doivent être configurés pour accorder l'accès.

Note

Ces étapes supposent qu'un VCN avec un sous-réseau privé, un service d'analyse des ressources provisionné et un service Oracle Analytics Cloud (OAC) provisionné existent déjà.

Configuration de l'accès au moyen d'un équilibreur de charge public

Configurer l'accès à un système OAC privé au moyen d'un équilibreur de charge public.

  1. Créez un sous-réseau public dans le même VCN que le sous-réseau privé contenant l'analyse des ressources et l'instance OAC.
    Le sous-réseau privé dans cet exemple est 10.0.1.0/24 et le sous-réseau public est 10.0.0.0/24.
  2. Créer une passerelle Internet.
    Une passerelle Internet est requise pour que vous puissiez accéder à l'équilibreur de charge public.
  3. Créez une table de routage.
    Une table de routage doit être configurée et une route doit être ajoutée pour 0.0.0.0/0 (accès Internet).
  4. Configurez le sous-réseau privé.
    Le sous-réseau privé a une table de routage existante et au moins une liste de sécurité qui lui est associée. Aucune route n'a besoin d'être ajoutée car le routage n'est pas requis dans un VCN. Une règle sur une liste de sécurité doit être ajoutée pour permettre le trafic sur le port 443 à partir du sous-réseau public.

    Ajoutez les éléments suivants pour la règle :

    sans état : Non

    Source : 10.0.0.0/24

    Protocole IP : TCP

    Intervalle de ports de sécurité : Tout

    Intervalle de ports de destination : 443

  5. Configurez le sous-réseau public.
    Le sous-réseau public a une table de routage existante et au moins une liste de sécurité qui lui est associée. Une route avec une cible pour la passerelle Internet pour le bloc CIDR 0.0.0.0/0 (accès Internet) doit être ajoutée à la table de routage associée au sous-réseau public. Une règle sur une liste de sécurité doit également être ajoutée pour permettre le trafic sur le port 443 à partir d'Internet.

    1. Ajoutez la règle de routage suivante à la table de routage :

      Type de cible : Passerelle Internet

      Bloc CIDR de destination : 0.0.0.0/0

      Passerelle Internet cible : <Your_gateway_name>

      Description : Texte facultatif pour décrire la règle.

    2. Sélectionnez Ajouter des règles de routage.
    3. Ajoutez la règle suivante à la liste de sécurité :

      sans état : Non

      Source : 00.0.0.0/0

      Protocole IP : TCP

      Intervalle de ports de sécurité : Tout

      Intervalle de ports de destination : 443

  6. Collecter les détails de l'OAC.
    Avant de créer l'équilibreur de charge, collectez les détails de l'instance OAC.
    1. Recherchez l'OAC que vous ciblez pour l'accès.
    2. Dans Détails supplémentaires, collectez le nom d'hôte et l'adresse IP.
  7. Créer un équilibreur de charge public.
    Note

    Vous devez avoir des limites disponibles pour les adresses IP publiques réservées même si vous sélectionnez Éphémère dans la configuration de l'équilibreur de charge. Le service d'équilibreur de charge utilise uniquement des adresses IP réservées.
    1. Attribuez un nom à l'équilibreur de charge.
    2. Sélectionnez Public comme type.
    3. Sélectionnez Adresse IP éphémère.
    4. Sélectionnez le VCN où résident Resource Analytics et OAC.
    5. Sélectionnez le sous-réseau public configuré à l'étape 5.
    6. Pour Charger la politique d'équilibrage, sélectionnez Circuit cyclique pondéré.
    7. Pour la vérification de l'état, sélectionnez TCP comme protocole et 443 comme port.
    8. Entrez le nom du processus d'écoute.
    9. Sélectionnez TCP comme type de trafic et 443 comme port.
    10. Sélectionnez le groupe de journaux par défaut pour les journaux d'erreurs.
    11. Sélectionnez Soumettre.
    12. Lors de la création de l'équilibreur de charge, notez l'adresse IP publique à utiliser plus tard.
  8. Ajoutez un système dorsal à l'équilibreur de charge.
    L'équilibreur de charge est marqué comme incomplet après sa création et un serveur dorsal doit être ajouté. Le serveur dorsal est l'adresse IP de l'instance OAC.
    1. Dans l'écran de création, sélectionnez Adresses IP.
    2. Sous Adresse IP, entrez 443 comme port.
    3. Sélectionnez Ajouter.
  9. Configurez l'application OAC dans le domaine d'identité.
    Lorsque OAC est provisionné, il est provisionné dans le cadre d'un domaine IDCS et une application IDCS associée est créée. La configuration doit être effectuée pour que l'utilisateur puisse accéder à OAC dans le domaine. Le domaine utilisé dans cet exemple est dev-domain.
    1. Créez un groupe pour les utilisateurs qui ont besoin d'accéder à OAC.
    2. Créer des comptes d'utilisateur locaux pour tous les utilisateurs ayant besoin d'accéder à OAC.
    3. Ajoutez chaque utilisateur au groupe.
    4. Dans Oracle Cloud Services, dans le domaine IDCS, sélectionnez l'instance OAC nécessitant des autorisations configurées.
    5. Sélectionner des rôles d'application.
    6. Pour chaque rôle d'application, sélectionnez Gérer pour les groupes affectés.
    7. Ajoutez le groupe créé à l'étape a.
    8. Répétez les étapes f et g pour chaque rôle d'application.
  10. Ajoutez de nouveaux utilisateurs et mettez à jour le groupe.
    1. Connectez-vous à la console OCI dans la location où le service d'analyse des ressources et OAC sont configurés.
    2. Naviguez jusqu'à Identité et sécurité.
    3. Sélectionnez Domaines.
    4. Sélectionnez le domaine dans lequel réside OAC.
    5. Sélectionner des utilisateurs.
    6. Sélectionnez Créer un utilisateur.
    7. Entrez un prénom, un nom et une adresse de courriel. L'utilisateur reçoit un courriel portant le titre Activate your profile in account - <tenancy_name> . L'utilisateur doit activer son compte et modifier son mot de passe.
    8. Sélectionner les groupes.
    9. Sélectionnez le groupe créé pour l'instance OAC.
    10. Sélectionnez Affecter les utilisateurs à des groupes.
    11. Sélectionnez l'utilisateur à ajouter.
  11. Mettez à jour le fichier /etc/hosts avec le nom OAC et l'adresse IP de l'équilibreur de charge public.
    1. Naviguez jusqu'à Analyse et intelligence artificielle.
    2. Sélectionnez Analytics Cloud.
    3. Assurez-vous que le compartiment approprié est sélectionné.
    4. Sélectionnez l'OAC à accéder.
    5. Sélectionnez Détails supplémentaires et collectez le nom d'hôte de l'instance OAC.
    6. Pour ouvrir le fichier d'hôtes dans une fenêtre TextEdit, ouvrez un terminal et exécutez la commande suivante :
      sudo open -e /etc/hosts
    7. Ajoutez une ligne pour OAC qui associe l'adresse IP publique de l'équilibreur de charge au nom d'hôte de l'instance OAC privée. Exemple : 
      
                                        <IP_address>
                                        <resource-analytics-ocid>
    1. Enregistrez les modifications.
    2. Déconnectez-vous du RPV, puis accédez à l'URL suivante, xj5i3m6hc5c.analytics.us-dcc-phoenix-1.ocp.oraclecloud17.com/ui.
    3. Connectez-vous avec le nom d'utilisateur et le mot de passe locaux créés précédemment.

Configuration de l'accès au moyen de l'hôte bastion

Vous pouvez configurer un hôte bastion pour accéder à un équilibreur de charge privé.

  1. Créez un hôte bastion OCI ciblant le sous-réseau privé où réside OAC.
  2. Fournir le bloc CIDR à partir de votre réseau sur lequel votre ordinateur portable ou votre appareil de calcul est connecté pour permettre l'accès au moyen de l'hôte bastion
  3. Créez la session à partir de l'hôte bastion (configurez les clés SSH selon les besoins).
  4. Suivez les instructions fournies à ssh sur le port 443.
    Note

    Vous devrez peut-être utiliser sudo pour la commande ssh, car elle est requise pour accéder à l'adresse IP 127.0.0.1 de bouclage sur un Mac. Par exemple, la commande ssh est :
    ssh -i <private_key_location> -N -L 443:10.0.1.27:443 -p 22 <bastion_ocid>
  5. Ajoutez une entrée dans le fichier /etc/hosts pour l'adresse de bouclage avec le nom d'hôte pour OAC privé.
    Exemple :
    127.0.0.1 <resource-analytics-private-OAC-hostname>
    Note

    Les sessions d'hôte bastion durent au maximum trois heures après lesquelles vous devez démarrer une nouvelle authentification de session.