Documentation Oracle Cloud Infrastructure

Accéder à OAC privé via l'équilibreur de charge public ou le bastion

Resource Analytics peut créer des instances Oracle Analytics Cloud dans le cadre de la solution pour permettre aux clients d'analyser les données. OAC peut être provisionné avec une adresse publique ou privée (que vous sélectionnez lors du provisionnement). Par défaut, OAC est provisionné avec une adresse privée. Les utilisateurs disposant d'une adresse publique OAC peuvent ignorer complètement cette section. Pour accéder à ces instances à partir de leur ordinateur portable, un sous-réseau public et un équilibreur de charge public doivent être configurés afin d'accorder l'accès.

Remarque

Ces étapes supposent qu'un VCN avec un sous-réseau privé, un service Resource Analytics provisionné et un service Oracle Analytics Cloud (OAC) provisionné existent déjà.

Configuration de l'accès via un équilibreur de charge public

Configurer l'accès à un OAC privé via un équilibreur de charge public.

  1. Créez un sous-réseau public dans le même VCN que le sous-réseau privé contenant Resource Analytics et l'instance OAC.
    Dans cet exemple, le sous-réseau privé est 10.0.1.0/24 et le sous-réseau public 10.0.0.0/24.
  2. Créez une passerelle Internet.
    Une passerelle Internet est requise afin que vous puissiez accéder à l'équilibreur de charge public.
  3. Créez une table de routage.
    Une table de routage doit être configurée et un routage doit être ajouté pour 0.0.0.0/0 (accès Internet).
  4. Configurez le sous-réseau privé.
    Une table de routage et au moins une liste de sécurité sont associées au sous-réseau privé. Aucun routage n'a besoin d'être ajouté car le routage n'est pas requis dans un VCN. Une règle sur une liste de sécurité doit être ajoutée pour autoriser le trafic sur le port 443 à partir du sous-réseau public.

    Ajoutez les éléments suivants pour la règle :

    Sans conservation de statut : Non

    Source : 10.0.0.0/24

    Protocole IP : TCP

    Plage de ports de sécurité : tous

    Plage de ports de destination: 443

  5. Configurez le sous-réseau public.
    Une table de routage et au moins une liste de sécurité sont associées au sous-réseau public. Un routage avec une cible pour la passerelle Internet pour le bloc CIDR 0.0.0.0/0 (accès Internet) doit être ajouté à la table de routage associée au sous-réseau public. Une règle sur une liste de sécurité doit également être ajoutée pour autoriser le trafic sur le port 443 à partir d'Internet.

    1. Ajoutez la règle de routage suivante à la table de routage :

      Type de cible : passerelle Internet.

      Bloc CIDR de destination : 0.0.0.0/0

      Passerelle Internet cible : <Your_gateway_name>

      Description : texte facultatif décrivant la règle.

    2. Sélectionnez Ajouter des règles de routage.
    3. Ajoutez la règle suivante à la liste de sécurité :

      Sans conservation de statut : Non

      Source : 00.0.0.0/0

      Protocole IP : TCP

      Plage de ports de sécurité : tous

      Plage de ports de destination: 443

  6. Collectez les détails d'OAC.
    Avant de créer l'équilibreur de charge, collectez les détails de l'instance OAC.
    1. Recherchez l'OAC que vous ciblez pour l'accès.
    2. Dans Détails supplémentaires, collectez le nom d'hôte et l'adresse IP.
  7. Création d'un équilibreur de charge public
    Remarque

    Vous devez disposer de limites pour les adresses IP publiques réservées, même si vous sélectionnez Éphémère dans la configuration de l'équilibreur de charge. Le service Load Balancer utilise uniquement des adresses IP réservées.
    1. Donnez un nom à l'équilibreur de charge.
    2. Sélectionnez le type Public.
    3. Sélectionnez Adresse IP éphémère.
    4. Sélectionnez le VCN où résident Resource Analytics et OAC.
    5. Sélectionnez le sous-réseau public configuré à l'étape 5.
    6. Pour Stratégie d'équilibrage de charge, sélectionnez Tour de rôle pondéré.
    7. Pour Vérification de l'état, sélectionnez TCP comme protocole et 443 comme port.
    8. Entrez le nom du processus d'écoute.
    9. Sélectionnez TCP comme type de trafic et 443 comme port.
    10. Sélectionnez le groupe de journaux par défaut pour les journaux d'erreurs.
    11. Sélectionnez Soumettre.
    12. Lorsque l'équilibreur de charge est créé, notez l'adresse IP publique à utiliser ultérieurement.
  8. Ajoutez un back-end à l'équilibreur de charges.
    L'équilibreur de charge est marqué comme incomplet après sa création et un back-end doit être ajouté. Le back-end est l'adresse IP de l'instance OAC.
    1. Sur l'écran de création, sélectionnez Adresses IP.
    2. Sous Adresse IP, entrez 443 comme port.
    3. Choisissez Ajouter.
  9. Configurez l'application OAC dans le domaine d'identité.
    Lorsqu'OAC est provisionné, il est provisionné dans le cadre d'un domaine IDCS et une application IDCS associée est créée. La configuration doit être effectuée pour que l'utilisateur puisse accéder à OAC dans le domaine. Le domaine utilisé dans cet exemple est dev-domain.
    1. Créez un groupe pour les utilisateurs qui ont besoin d'accéder à OAC.
    2. Créez des comptes utilisateur locaux pour les utilisateurs qui ont besoin d'accéder à OAC.
    3. Ajoutez chaque utilisateur au groupe.
    4. Dans les services Oracle Cloud, dans le domaine IDCS, sélectionnez l'instance OAC nécessitant des droits d'accès configurés.
    5. Sélectionnez Rôles d'application.
    6. Pour chaque rôle d'application, sélectionnez Gérer pour les groupes affectés.
    7. Ajoutez le groupe créé à l'étape a.
    8. Répétez les étapes f et g pour chaque rôle d'application.
  10. Ajoutez de nouveaux utilisateurs et mettez à jour le groupe.
    1. Connectez-vous à la console OCI dans la location dans laquelle Resource Analytics et OAC sont configurés.
    2. Accédez à Identité et sécurité.
    3. Sélectionnez Domaines.
    4. Sélectionnez le domaine dans lequel réside OAC.
    5. Sélectionnez Utilisateurs.
    6. Sélectionnez Créer un utilisateur.
    7. Entrez un prénom, un nom et une adresse e-mail. L'utilisateur reçoit un courriel avec le titre Activate your profile in account - <tenancy_name> . L'utilisateur doit activer son compte et modifier son mot de passe.
    8. Sélectionnez Groupes.
    9. Sélectionnez le groupe créé pour l'instance OAC.
    10. Sélectionnez Affecter des utilisateur aux groupes.
    11. Sélectionnez l'utilisateur à ajouter.
  11. Mettez à jour le fichier /etc/hosts avec le nom d'OAC et l'adresse IP de l'équilibreur de charge public.
    1. Accédez à Analytics et IA.
    2. Sélectionnez Analytics Cloud.
    3. Assurez-vous que le compartiment approprié est sélectionné.
    4. Sélectionnez l'OAC auquel accéder.
    5. Sélectionnez Détails supplémentaires et collectez le nom d'hôte de l'instance OAC.
    6. Pour ouvrir le fichier hosts dans une fenêtre TextEdit, ouvrez un terminal et exécutez la commande suivante :
      sudo open -e /etc/hosts
    7. Ajoutez une ligne pour OAC qui associe l'adresse IP publique de l'équilibreur de charge au nom d'hôte de l'instance OAC privée. Par exemple : 
      
                                        <IP_address>
                                        <resource-analytics-ocid>
    1. Enregistrez les modifications.
    2. Déconnectez-vous du VPN, puis accédez à l'URL suivante, xj5i3m6hc5c.analytics.us-dcc-phoenix-1.ocp.oraclecloud17.com/ui.
    3. Connectez-vous avec le nom d'utilisateur et le mot de passe locaux créés précédemment.

Configurer l'accès via Bastion

Le bastion peut être configuré pour accéder à un équilibreur de charge privé.

  1. Créez un bastion OCI ciblant le sous-réseau privé où réside OAC.
  2. Fournissez le bloc CIDR à partir du réseau sur lequel votre ordinateur portable ou votre appareil de calcul est connecté pour permettre l'accès via Bastion
  3. Créez la session à partir du bastion (configurez les clés SSH selon vos besoins).
  4. Suivez les instructions fournies à SSH sur le port 443.
    Remarque

    Vous devrez peut-être utiliser sudo pour la commande ssh, car elle est requise pour accéder à l'adresse IP 127.0.0.1 loopback sur un Mac. Par exemple, la commande ssh est :
    ssh -i <private_key_location> -N -L 443:10.0.1.27:443 -p 22 <bastion_ocid>
  5. Ajoutez une entrée dans le fichier /etc/hosts pour l'adresse loopback avec le nom d'hôte de l'OAC privé.
    Par exemple :
    127.0.0.1 <resource-analytics-private-OAC-hostname>
    Remarque

    Les sessions de bastion durent au maximum trois heures après lesquelles vous devez démarrer une nouvelle session de réauthentification.