Connettersi a Oracle Cloud Infrastructure GoldenGate utilizzando un IP privato

Informazioni su come creare, impostare e utilizzare OCI Bastion per proteggere l'accesso alla console di distribuzione OCI GoldenGate.

Panoramica

OCI GoldenGate è accessibile solo utilizzando un endpoint privato dall'interno della rete OCI o tramite un host bastion che protegge l'accesso alle risorse OCI. Sebbene questo esempio di avvio rapido utilizzi OCI Bastion, è possibile utilizzare il proprio bastion. Questo Quickstart include entrambe le opzioni, in modo da poter selezionare quella che funziona meglio per te.

Segue la descrizione di qs-bastion.png

Descrizione dell'illustrazione qs-bastion.png

Prima di iniziare

Per procedere è necessario disporre dei seguenti elementi:

Opzione A: Usa bastion OCI

È possibile utilizzare OCI Bastion o il proprio. In questo esempio viene utilizzato OCI Bastion.

  1. Creare un bastion. Assicurarsi di effettuare quanto riportato di seguito.

    1. Utilizzare la stessa VCN della distribuzione e della subnet OCI GoldenGate di destinazione.

      Nota: la subnet può essere uguale alla distribuzione GoldenGate OCI o a quella che ha accesso alla subnet GoldenGate OCI.

    2. Includere gli indirizzi IP dei sistemi utilizzati per connettersi al bastion OCI nella lista di inclusione dei blocchi CIDR.

  2. Creare una sessione di inoltro porta SSH.

    1. Per Indirizzo IP, immettere l'IP privato della distribuzione GoldenGate OCI. È possibile trovare l'IP privato nella pagina Dettagli della distribuzione.

    2. Per Porta, immettere 443.

    3. In Aggiungi chiave SSH, fornire il file di chiave pubblica della coppia di chiavi SSH da utilizzare per la sessione.

  3. Dopo aver creato la sessione, nel menu Azioni (tre punti) della sessione selezionare Copia comando SSH.

  4. Incollare il comando in un editor di testo, quindi sostituire i segnaposto <privateKey> e <localPort> con il percorso della chiave privata e della porta 443.

  5. Eseguire il comando utilizzando l'interfaccia della riga di comando per creare il tunnel.

  6. Aprire un browser Web e andare a https://localhost.

    Nota:

    • Assicurarsi di aggiungere una regola di entrata per l'host bastion nella lista di sicurezza della subnet privata. Ulteriori informazioni.

    • Se viene visualizzato il seguente messaggio di errore,

      {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

      quindi è necessario aggiungere una voce nel file host client per mappare 127.0.0.1 al nome FQDN di distribuzione. Ad esempio:

      127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

Opzione B: utilizza il tuo bastion su OCI Compute

  1. Creare un'istanza di computazione nella subnet pubblica della stessa VCN della distribuzione GoldenGate OCI.

    Nota: in questo esempio, il CIDR della subnet pubblica è 10.0.0.0/24. Lo stesso valore CIDR verrà utilizzato quando si aggiunge una regola di entrata alla lista di sicurezza della subnet privata.

  2. Controllare la lista di sicurezza predefinita per la subnet pubblica:

    1. Dal menu di navigazione della console di Oracle Cloud, selezionare Networking, quindi Reti cloud virtuali.

    2. Dalla lista di reti cloud virtuali, selezionare la VCN per visualizzarne i dettagli.

    3. Nella pagina dei dettagli della VCN selezionare Sicurezza, quindi selezionare la Lista di sicurezza predefinita per <la subnet pubblica>.

    4. Nella pagina Dettagli lista di sicurezza predefinita, selezionare Regole di sicurezza. Questa lista di sicurezza deve includere una regola per l'accesso SSH:

      Senza conservazione dello stato Origine Protocollo IP Intervallo porte di origine Intervallo di porte di destinazione Tipo e codice Consente
      N. 0.0.0.0/0 TCP Tutti 22 ND Traffico TCP per le porte: 22 Protocollo di login remoto SSH

      Se la lista di sicurezza non include questa regola, selezionare Aggiungi regole di entrata e completare il form utilizzando i valori sopra riportati.

  3. Aggiungere una regola di entrata alla lista di sicurezza della subnet privata per consentire la connettività a OCI GoldenGate dalla subnet pubblica.

    1. Nella pagina dei dettagli della VCN, selezionare Sicurezza, quindi selezionare Lista di sicurezza per subnet privata per visualizzarne i dettagli.

    2. Nella pagina Dettagli lista di sicurezza per subnet privata selezionare Regole di sicurezza. Selezionare Aggiungi regole di entrata.

    3. Nella pagina Aggiungi regole di entrata, completare i campi come indicato di seguito, quindi selezionare Aggiungi regole di entrata.

      1. Per Tipo di origine, selezionare CIDR.

      2. Per CIDR origine, immettere il valore CIDR della subnet pubblica (10.0.0.0/24).

      3. Per Protocollo IP, selezionare TCP.

      4. Per Intervallo porte destinazione, immettere 443.

  4. (Utenti Windows) Creare una sessione per connettersi all'host bastion utilizzando PuTTY:

    1. Nella schermata di configurazione della sessione PuTTY immettere l'IP pubblico dell'istanza di computazione per Nome host. È possibile inserire 22 come valore per Porta.

    2. Nella categoria Connessione espandere SSH, selezionare Autorizzazione, quindi selezionare Sfoglia per individuare il privato utilizzato per creare l'istanza di computazione.

    3. Selezionare Tunnel nel pannello Categoria, immettere 443 per la porta di origine e <deployment-hostname>:443 per la destinazione.

    4. (Facoltativo) Tornare alla categoria Sessione e salvare i dettagli della sessione.

    5. Selezionare Apri per connettersi.

  5. (Utenti Linux) Creare una sessione per connettersi all'host bastion utilizzando la riga di comando:

    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N

  6. Dopo aver eseguito correttamente la connessione, aprire una finestra del browser e immettere https://localhost nella barra degli indirizzi. Viene visualizzata la console di distribuzione OCI GoldenGate.

Problemi noti

Errore dell'URL di reindirizzamento non valido durante il tentativo di accedere a una distribuzione abilitata per IAM mediante un IP

Quando si tenta di accedere a una distribuzione abilitata per IAM utilizzando l'indirizzo IP della distribuzione, si verifica il seguente errore:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

Soluzione: è possibile effettuare una delle operazioni seguenti:

Opzione 1: aggiungere l'indirizzo IP di distribuzione all'applicazione del dominio di Identity. Per apportare questa modifica, è necessario far parte del gruppo di utenti assegnato all'applicazione.

  1. Nel menu di navigazione di Oracle Cloud selezionare Identità e sicurezza, quindi in Identità selezionare Domini.

  2. Selezionare il dominio dall'elenco Domini.

  3. Dal menu delle risorse del dominio di Identity, selezionare Oracle Cloud Services.

  4. Selezionare l'applicazione dall'elenco Oracle Cloud Services. Ad esempio, Applicazione GGS INFRA per ID distribuzione:<OCID distribuzione>.

  5. Nella pagina dell'applicazione nella configurazione OAuth, selezionare Modifica configurazione OAuth.

  6. Per URL di reindirizzamento, immettere l'URL della console della distribuzione con l'IP della distribuzione al posto del dominio. Ad esempio: https://<deployment-ip>/services/adminsrvr/v2/authorization.

  7. Salvare le modifiche.

Opzione 2: aggiungere una voce nel file host client per mappare 127.0.0.1 al nome FQDN di distribuzione (sostituire <region> con l'area appropriata). Ad esempio:

127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com