Documentazione di Oracle Cloud Infrastructure

Connessione alle sessioni nel bastion

Questo argomento descrive come connettersi alle sessioni bastion.

Per informazioni su come creare e gestire le sessioni bastion, vedere Gestione delle sessioni in bastion. Per informazioni sulla creazione e la gestione dei bastion, vedere Gestione dei bastion.

I bastion sono servizi gestiti da Oracle. È possibile utilizzare un bastion per creare sessioni Secure Shell (SSH) che forniscono l'accesso ad altre risorse private. Tuttavia, non è possibile connettersi direttamente a un bastion con SSH e amministrarlo o monitorarlo come un host tradizionale.

Quando ci si connette a una sessione bastion, si consiglia di seguire le procedure ottimali SSH descritte in Securing Bastion.

È possibile connettersi ai seguenti tipi di sessioni:

Criteri IAM necessari

Per utilizzare Oracle Cloud Infrastructure, è necessario che un amministratore ti conceda l'accesso di sicurezza in un criterio . Questo accesso è necessario, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o unaltro strumento. Se viene visualizzato un messaggio che segnala che non si dispone dell'autorizzazione o che non si dispone dell'autorizzazione, verificare con l'amministratore il tipo di accesso di cui si dispone e il compartimento di cui lavorare.

Per utilizzare tutte le funzioni Bastion, è necessario disporre delle autorizzazioni riportate di seguito.

  • Gestione di bastion, sessioni e reti
  • Leggi istanze di computazione
  • Lettura dei plugin agente istanza di computazione (agente Oracle Cloud)
  • Esaminare le richieste di lavoro
Criterio di esempio:
Allow group SecurityAdmins to manage bastion-family in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Per informazioni dettagliate sui criteri e altri esempi, vedere Policy IAM di base.

Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni.

Consentire l'accesso alla rete dal bastion

La VCN (rete cloud virtuale) in cui è stata creata la risorsa di destinazione deve consentire il traffico di rete in entrata dal bastion sulla porta di destinazione.

Ad esempio, se si desidera utilizzare una sessione per connettersi alla porta 8001 su un'istanza di computazione da un bastion con l'indirizzo IP 192.168.0.99, la subnet utilizzata per accedere all'istanza deve consentire il traffico in entrata da 192.168.0.99 sulla porta 8001.

  1. Nella pagina elenco Bastion, individuare il bastion che si desidera utilizzare. Se è necessaria assistenza per trovare la pagina elenco o il bastion, vedere Base elenco.
  2. Selezionare il nome del bastion.
  3. Copiare l'indirizzo IP dell'endpoint privato.
  4. Selezionare la subnet di destinazione.

    Se la risorsa di destinazione si trova in una subnet diversa da quella utilizzata dal bastion per accedere a questa VCN, modificare la subnet della risorsa di destinazione.

  5. Nella pagina Dettagli subnet fare clic su una lista di sicurezza esistente assegnata a questa subnet.

    In alternativa, puoi creare una lista di sicurezza e assegnarla a questa subnet.

  6. Selezionare Aggiungi regole di entrata.
  7. Per CIDR di origine, immettere un blocco CIDR che includa l'indirizzo IP dell'endpoint privato del bastion.

    Ad esempio, il blocco CIDR <bastion_private_IP>/32 include solo l'indirizzo IP del bastion.

  8. Per IP Protocol, selezionare TCP.
  9. In Intervallo porte di destinazione, immettere il numero di porta nella risorsa di destinazione.

    Per le sessioni SSH gestite, specificare la porta 22.

  10. Selezionare Aggiungi regole di entrata.

Per ulteriori informazioni, vedere: Elenchi di sicurezza.