Documentazione dell'infrastruttura Oracle Cloud

Accedi a OAC privato tramite load balancer o bastion pubblico

Resource Analytics può creare istanze di Oracle Analytics Cloud come parte della soluzione per consentire ai clienti di analizzare i dati. È possibile eseguire il provisioning di OAC con un endpoint pubblico o privato (selezionare durante il provisioning). Per impostazione predefinita, il provisioning di OAC viene eseguito con un endpoint privato. Gli utenti con endpoint pubblico OAC possono ignorare completamente questa sezione. Per accedere a queste istanze dai rispettivi laptop, è necessario configurare una subnet pubblica e un load balancer pubblico per concedere l'accesso.

Nota

Questi passi presuppongono che una VCN con una subnet privata, un servizio Resource Analytics con provisioning e un Oracle Analytics Cloud (OAC) con provisioning eseguito esista già.

Configurazione dell'accesso tramite un load balancer pubblico

Configura l'accesso a un OAC privato tramite un load balancer pubblico.

  1. Creare una subnet pubblica nella stessa VCN della subnet privata contenente Resource Analytics e l'istanza OAC.
    La subnet privata in questo esempio è 10.0.1.0/24 e la subnet pubblica è 10.0.0.0/24.
  2. Creare un gateway internet.
    È necessario un gateway Internet per poter accedere al load balancer pubblico.
  3. Creare una tabella di instradamento.
    È necessario impostare una tabella di instradamento e aggiungere un instradamento per 0.0.0.0/0 (accesso a Internet).
  4. Configurare la subnet privata.
    Alla subnet privata è associata una tabella di instradamento e almeno una lista di sicurezza. Non è necessario aggiungere instradamenti perché l'instradamento non è obbligatorio all'interno di una VCN. È necessario aggiungere una regola in una lista di sicurezza per consentire l'accesso al traffico sulla porta 443 dalla subnet pubblica.

    Aggiungere la regola seguente:

    Senza stato: No

    Origine: 10.0.0.0/24

    Protocollo IP: TCP

    Intervallo porte di sicurezza: Tutto

    Intervallo di porte di destinazione: 443

  5. Configurare la subnet pubblica.
    Alla subnet pubblica è associata una tabella di instradamento e almeno una lista di sicurezza. È necessario aggiungere un instradamento con una destinazione per il gateway Internet per il blocco CIDR 0.0.0.0/0 (accesso a Internet) alla tabella di instradamento associata alla subnet pubblica. È inoltre necessario aggiungere una regola in una lista di sicurezza per consentire il traffico sulla porta 443 da Internet.

    1. Aggiungere la seguente regola di instradamento alla tabella di instradamento:

      Tipo di destinazione: gateway Internet

      Blocco CIDR di origine: 0.0.0.0/0

      Gateway Internet di destinazione: <Your_gateway_name>

      Descrizione: testo facoltativo per descrivere la regola.

    2. Selezionare Aggiungi regole di instradamento.
    3. Aggiungere la regola seguente alla lista di sicurezza:

      Senza stato: No

      Origine: 00.0.0.0/0

      Protocollo IP: TCP

      Intervallo porte di sicurezza: Tutto

      Intervallo di porte di destinazione: 443

  6. Raccogliere i dettagli dell'OAC.
    Prima di creare il load balancer, raccogliere i dettagli dell'istanza OAC.
    1. Trova l'OAC di destinazione per l'accesso.
    2. Da Additional Details raccogliere il nome host e l'IP.
  7. Creare un load balancer pubblico.
    Nota

    È necessario disporre di limiti disponibili per gli indirizzi IP pubblici riservati anche se si seleziona Effimero nell'impostazione del load balancer. Il servizio Load Balancer utilizza solo indirizzi IP riservati.
    1. Assegnare un nome al load balancer.
    2. Selezionare Pubblico come tipo.
    3. Selezionare Indirizzo IP effimero.
    4. Selezionare la VCN in cui risiedono Resource Analytics e OAC.
    5. Selezionare la subnet pubblica configurata nel passo 5.
    6. Per Criterio di bilanciamento del carico, selezionare Arrotondamento ponderato.
    7. Per Health Check, selezionare TCP come protocollo e 443 come porta.
    8. Immettere un nome per il listener.
    9. Selezionare TCP come tipo di traffico e 443 come porta.
    10. Selezionare il gruppo di log predefinito per i log degli errori.
    11. Selezionare Sottometti.
    12. Quando viene creato il load balancer, prendere nota dell'indirizzo IP pubblico da utilizzare in un secondo momento.
  8. Aggiungere un backend al load balancer.
    Il load balancer è contrassegnato come incompleto dopo la creazione e deve essere aggiunto un backend. Il backend è l'indirizzo IP dell'istanza OAC.
    1. Nella schermata di creazione selezionare indirizzi IP.
    2. In indirizzo IP immettere 443 come porta.
    3. Selezionare Aggiungi.
  9. Configurare l'applicazione OAC nel dominio di Identity.
    Quando viene eseguito il provisioning di OAC, viene eseguito il provisioning come parte di un dominio IDCS e viene creata un'applicazione IDCS associata. È necessario eseguire la configurazione per consentire all'utente di accedere a OAC nel dominio. Il dominio utilizzato in questo esempio è dev-domain.
    1. Creare un gruppo per gli utenti che devono accedere a OAC.
    2. Creare account utente locali per gli utenti che devono accedere a OAC.
    3. Aggiungere ogni utente al gruppo.
    4. In Oracle Cloud Services, nel dominio IDCS, selezionare l'istanza OAC che richiede le autorizzazioni configurate.
    5. Selezionare Ruoli applicazione.
    6. Per ciascun ruolo applicazione, selezionare Gestisci per gruppi assegnati.
    7. Aggiungere il gruppo creato nel passo a.
    8. Ripetere i passi f e g per ciascun ruolo dell'applicazione.
  10. Aggiungere nuovi utenti e aggiornare il gruppo.
    1. Connettersi alla console OCI nella tenancy in cui sono impostati Resource Analytics e OAC.
    2. Passare a Identità e sicurezza.
    3. Selezionare Domini.
    4. Selezionare il dominio in cui risiede OAC.
    5. Selezionare Utenti.
    6. Selezionare Crea utente.
    7. Inserire un nome, un cognome e un indirizzo e-mail. L'utente riceve un'email con il titolo Activate your profile in account - <tenancy_name> . L'utente deve attivare il proprio account e modificare la password.
    8. Selezionare Gruppi.
    9. Selezionare il gruppo creato per l'istanza OAC.
    10. Selezionare Assegna utenti ai gruppi.
    11. Selezionare l'utente da aggiungere.
  11. Aggiornare il file /etc/hosts con il nome di OAC e l'IP del load balancer pubblico.
    1. Passare a Analytics e AI.
    2. Selezionare Analytics Cloud.
    3. Assicurarsi che sia selezionato il compartimento corretto.
    4. Selezionare l'OAC a cui accedere.
    5. Selezionare Dettagli aggiuntivi e raccogliere il nome host dell'istanza OAC.
    6. Per aprire il file hosts in una finestra TextEdit, aprire un terminale ed eseguire il comando:
      sudo open -e /etc/hosts
    7. Aggiungere una riga per OAC che associ l'IP del load balancer pubblico al nome host dell'istanza OAC privata. Ad esempio: 
      
                                        <IP_address>
                                        <resource-analytics-ocid>
    1. Salvare le modifiche.
    2. Disconnetti da VPN e vai al seguente URL, xj5i3m6hc5c.analytics.us-dcc-phoenix-1.ocp.oraclecloud17.com/ui.
    3. Eseguire il login con il nome utente locale e la password creati in precedenza.

Configurazione dell'accesso tramite bastion

Il bastion può essere impostato per accedere a un load balancer privato.

  1. Crea un bastion OCI che si rivolge alla subnet privata in cui risiede OAC.
  2. Fornire il blocco CIDR dalla rete in cui è collegato il laptop o il dispositivo di calcolo per consentire l'accesso tramite Bastion
  3. Creare la sessione dal bastion (impostare le chiavi ssh come richiesto).
  4. Seguire le istruzioni fornite per ssh sulla porta 443.
    Nota

    Potrebbe essere necessario utilizzare sudo per il comando ssh, poiché è necessario accedere all'indirizzo IP 127.0.0.1 di loopback su un Mac. Ad esempio, il comando ssh è:
    ssh -i <private_key_location> -N -L 443:10.0.1.27:443 -p 22 <bastion_ocid>
  5. Aggiungere una voce nel file /etc/hosts per l'indirizzo di loopback con il nome host per l'OAC privato.
    Ad esempio:
    127.0.0.1 <resource-analytics-private-OAC-hostname>
    Nota

    Le sessioni bastion durano al massimo tre ore dopo le quali è necessario avviare una nuova riautenticazione della sessione.