Connexion à Oracle Cloud Infrastructure GoldenGate à l'aide d'une adresse IP privée

Utilisez OCI Bastion pour sécuriser l'accès à la console de déploiement OCI GoldenGate.

Rubriques connexes

Présentation

OCI GoldenGate est uniquement accessible à l'aide d'une adresse privée à partir du réseau OCI ou via un bastion qui sécurise l'accès aux ressources OCI. Bien que cet exemple de démarrage rapide emploie OCI Bastion, vous pouvez utiliser votre propre bastion. Ce démarrage rapide inclut les deux options. Vous pouvez donc choisir celle qui vous convient le mieux.

Description de l'image qs-bastion.png
description de l'illustration qs-bastion.png,

Avant de commencer

Pour continuer, vous devez disposer des éléments suivants :

  • Une version d'évaluation gratuite ou un compte Oracle Cloud Infrastructure payant
  • Un accès à OCI GoldenGate
  • Un déploiement OCI GoldenGate dans un sous-réseau privé et sans adresse publique
  • Pour OCI Bastion :
    • Un accès au service
    • Un accès à OCI Bastion ou à votre propre bastion sur OCI Compute
  • Pour votre propre bastion sur OCI Compute :
    • Un accès à OCI Compute
    • Des sous-réseaux publics et privés configurés dans chaque domaine de disponibilité

      Remarques :

      Oracle recommande de créer un sous-réseau public distinct destiné exclusivement aux hôtes de bastion afin que la liste d'accès appropriée soit affectée à l'hôte approprié.

Option A : utilisation d'OCI Bastion

Vous pouvez utiliser OCI Bastion ou votre propre bastion. Cet exemple utilise OCI Bastion.

Remarques :

Pour US Government Cloud avec autorisation FedRAMP, vous devez utiliser l'option B. Le service OCI Bastion n'est actuellement pas disponible dans ces régions.
  1. Créez un bastion. Effectuez les opérations suivantes :
    1. Utilisez le même réseau cloud virtuel et le même sous-réseau que le déploiement OCI GoldenGate cible.

      Remarques :

      Le sous-réseau peut être identique au déploiement OCI GoldenGate ou à un sous-réseau OCI GoldenGate.
    2. Incluez les adresses IP des machines utilisées pour la connexion à OCI Bastion dans la liste d'autorisation de blocage CIDR.
  2. Créez une session de transmission de port SSH.
    1. Dans Adresse Internet, saisissez l'adresse IP privée du déploiement OCI GoldenGate. Vous pouvez trouver l'adresse IP privée sur la page Détails du déploiement.
    2. Dans Port, saisissez 443.
    3. Sous Ajouter la clé SSH, indiquez le fichier de clés publiques de la paire des clés SSH à utiliser pour la session.
  3. Une fois la session créée, dans le menu d'actions (trois points) de cette session, sélectionnez Copier la commande SSH.
  4. Collez la commande dans un éditeur de texte, puis remplacez les espaces réservés <privateKey> et <localPort> par le chemin de la clé privée et le port 443.
  5. Exécutez la commande à l'aide de l'interface de ligne de commande pour créer le tunnel.
  6. Ouvrez un navigateur Web et accédez à https://localhost.

Remarques :

  • Veillez à ajouter une règle entrante pour l'hôte Bastion dans la liste de sécurité du sous-réseau privé. En savoir plus.
  • Si vous rencontrez le message d'erreur suivant, 
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    vous devez ensuite ajouter une entrée dans le fichier d'hôtes de l'ordinateur client pour mettre en correspondance 127.0.0.1 avec le nom de domaine qualifié complet de déploiement. Exemple :

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

Option B : utiliser votre propre bastion sur OCI Compute

  1. Créez une instance de calcul dans le sous-réseau public du réseau cloud virtuel du déploiement OCI GoldenGate.

    Remarques :

    Dans cet exemple, le CIDR du sous-réseau public est 10.0.0.0/24. La même valeur de CIDR sera utilisée lorsque vous ajouterez une règle entrante à la liste de sécurité de sous-réseau privé.
  2. Vérifiez la liste de sécurité par défaut du sous-réseau public :
    1. Dans le menu d'accès à la console Oracle Cloud, sélectionnez Fonctions de réseau, puis Réseaux Cloud virtuels.
    2. Dans la liste des réseaux cloud virtuels, sélectionnez votre VCN pour afficher ses détails.
    3. Sur la page de détails du VCN, cliquez sur Sécurité, puis sélectionnez la liste Sécurité par défaut pour <le sous-réseau public>.
    4. Sur la page de détails de la liste de sécurité par défaut, cliquez sur Règles de sécurité. Cette liste de sécurité doit inclure une règle pour l'accès SSH :
      Sans conservation de statut Source Protocole IP Plage de ports source Plage de ports de destination Type et code Permet
      No 0.0.0.0/0 TCP Toutes 22 S/O Trafic TCP pour les ports : Protocole de connexion distante SSH 22

      Si la liste de sécurité n'inclut pas cette règle, cliquez sur Ajouter des règles entrantes et complétez le formulaire en utilisant les valeurs ci-dessus.

  3. Ajoutez une règle entrante à la liste de sécurité de sous-réseau privé pour autoriser la connectivité à OCI GoldenGate à partir du sous-réseau public.
    1. Sur la page de détails du VCN, cliquez sur Sécurité, puis sélectionnez la liste de sécurité pour le sous-réseau privé pour en visualiser les détails.
    2. Sur la page de détails de la liste de sécurité du sous-réseau privé, cliquez sur Règles de sécurité. Cliquez sur Ajouter des règles entrantes.
    3. Sur la page Ajouter des règles entrantes, renseignez les champs comme suit, puis cliquez sur Ajouter des règles entrantes :
      1. Dans Type de source, sélectionnez CIDR.
      2. Dans CIDR source, entrez la valeur du CIDR de sous-réseau public (10.0.0.0/24).
      3. Pour Protocole IP, sélectionnez TCP.
      4. Dans Plage de port de destination, entrez 443.
  4. (Utilisateurs Windows) Créez une session pour vous connecter au bastion à l'aide de PuTTY :
    1. Sur l'écran de configuration de session PuTTY, entrez l'adresse IP publique de l'instance Compute dans Nom d'hôte. Vous pouvez laisser la valeur de Port 22.
    2. Sous la catégorie Connexion, développez SSH, cliquez sur Authentification, puis sur Parcourir afin de localiser la valeur privée utilisée pour créer l'instance Compute.
    3. Cliquez sur Tunnels dans le panneau Catégorie, entrez 443 pour les ports source et <deployment-hostname>:443 pour la destination.
    4. (Facultatif) Revenez à la catégorie Session et enregistrez les détails de la session.
    5. Cliquez sur Ouvrir pour vous connecter.
  5. (Utilisateurs Linux) Créez une session pour vous connecter au bastion à l'aide de la ligne de commande :
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. Une fois la connexion établie, ouvrez une fenêtre de navigateur et entrez https://localhost dans la barre d'adresse. Vous êtes dirigé vers la console de déploiement OCI GoldenGate.

Problèmes recensés

Erreur d'URL de redirection non valide lors de la tentative d'accès à un déploiement compatible IAM à l'aide d'une adresse IP

Lorsque vous tentez d'accéder à un déploiement compatible IAM à l'aide de l'adresse IP du déploiement, l'erreur suivante se produit :

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

Solution de contournement : vous pouvez effectuer l'une des opérations suivantes :

Option 1 : ajoutez l'adresse IP de déploiement à votre application de domaine d'identité. Pour effectuer cette modification, vous devez faire partie du groupe d'utilisateurs affecté à l'application.

  1. Dans le menu de navigation Oracle Cloud, sélectionnez Identité et sécurité, puis sous Identité, cliquez sur Domaines.
  2. Sélectionnez votre domaine dans la liste Domaines.
  3. Dans le menu des ressources de domaine d'identité du domaine, sélectionnez Services Oracle Cloud.
  4. Sélectionnez votre application dans la liste des services Oracle Cloud. Par exemple, Application GGS INFRA pour l'ID déploiement :<deployment OCID>.
  5. Sur la page de l'application, sous Configuration OAuth, cliquez sur Modifier la configuration OAuth.
  6. Pour URL de réacheminement, entrez l'URL de console du déploiement avec l'adresse IP du déploiement à la place du domaine. Par exemple : https://<deployment-ip>/services/adminsrvr/v2/authorization.
  7. Enregistrez les modifications.
Option 2 : ajoutez une entrée dans le fichier d'hôtes de l'ordinateur client pour mettre en correspondance 127.0.0.1 avec le nom de domaine qualifié complet de déploiement (remplacez <region> par la région appropriée). Exemple : 
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com