Oracle Cloud Infrastructureドキュメント

パブリック・ロード・バランサまたは要塞を介したプライベートOACへのアクセス

リソース・アナリティクスは、お客様がデータを分析できるようにソリューションの一部としてOracle Analytics Cloudインスタンスを作成できます。OACには、パブリック・エンドポイントまたはプライベート・エンドポイントのいずれかをプロビジョニングできます(プロビジョニング時に選択します)。デフォルトでは、OACにはプライベート・エンドポイントがプロビジョニングされます。パブリック・エンドポイントOACを持つユーザーは、このセクションを完全にスキップできます。これらのインスタンスをラップトップからアクセスするには、アクセスを許可するようにパブリック・サブネットとパブリック・ロード・バランサを構成する必要があります。

ノート

これらのステップでは、プライベート・サブネットを持つVCN、プロビジョニングされたリソース・アナリティクス・サービスおよびプロビジョニングされたOracle Analytics Cloud (OAC)がすでに存在することを前提としています。

パブリック・ロード・バランサを介したアクセスの構成

パブリック・ロード・バランサを介してプライベートOACへのアクセスを構成します。

  1. リソース・アナリティクスおよびOACインスタンスを含むプライベート・サブネットと同じVCNにパブリック・サブネットを作成します。
    この例のプライベート・サブネットは10.0.1.0/24で、パブリック・サブネットは10.0.0.0/24です。
  2. インターネット・ゲートウエイを作成します。
    パブリック・ロード・バランサにアクセスするには、インターネット・ゲートウェイが必要です。
  3. ルート表を作成します。
    ルート表を設定し、0.0.0.0/0 (インターネット・アクセス)用のルートを追加する必要があります。
  4. プライベート・ネットを構成します。
    プライベート・サブネットには、既存のルート表と少なくとも1つのセキュリティ・リストが関連付けられています。VCN内でルーティングが不要なため、ルートを追加する必要はありません。セキュリティ・リスト上のルールを追加して、パブリック・サブネットからポート443でトラフィックを許可する必要があります。

    ルールに次を追加します。

    ステートレス: いいえ

    ソース: 10.0.0.0/24

    IPプロトコル : TCP

    セキュリティ・ポート範囲: すべて

    宛先ポート範囲: 443

  5. パブリック・サブネットを構成します。
    パブリック・サブネットには、既存のルート表と少なくとも1つのセキュリティ・リストが関連付けられています。Internet Gateway for CIDRブロック0.0.0.0/0 (インターネット・アクセス)のターゲットを持つルートは、パブリック・サブネットに関連付けられたルート表に追加する必要があります。また、インターネットからのポート443でトラフィックを許可するには、セキュリティ・リスト上のルールも追加する必要があります。

    1. ルート表に次のルート・ルールを追加します。

      ターゲット・タイプ: インターネット・ゲートウェイ

      宛先CIDRブロック: 0.0.0.0/0

      ターゲット・インターネット・ゲートウェイ: <Your_gateway_name>

      摘要: ルールを説明するオプションのテキスト。

    2. 「ルート・ルールの追加」を選択します。
    3. セキュリティ・リストに次のルールを追加します。

      ステートレス: いいえ

      ソース: 00.0.0.0/0

      IPプロトコル : TCP

      セキュリティ・ポート範囲: すべて

      宛先ポート範囲: 443

  6. OACの詳細を収集します。
    ロード・バランサを作成する前に、OACインスタンスの詳細を収集します。
    1. アクセスの対象としているOACを見つけます。
    2. 「追加の詳細」からホスト名とIPを収集します。
  7. パブリック・ロード・バランサを作成します。
    ノート

    ロード・バランサ設定でエフェメラルを選択した場合でも、予約済パブリックIPアドレスに使用できる制限が必要です。ロード・バランサ・サービスでは、予約済IPアドレスのみが使用されます。
    1. ロード・バランサに名前を付けます。
    2. タイプとして「パブリック」を選択します。
    3. 「エフェメラルIPアドレス」を選択します。
    4. リソース・アナリティクスおよびOACが存在するVCNを選択します。
    5. ステップ5で構成したパブリック・サブネットを選択します。
    6. 「ロード・バランシング・ポリシー」で、「重み付けラウンド・ロビン」を選択します。
    7. 「ヘルス・チェック」で、プロトコルとしてTCP、ポートとして443を選択します。
    8. リスナーの名前を入力します。
    9. トラフィック・タイプとしてTCPを選択し、ポートとして443を選択します。
    10. エラー・ログのデフォルト・ログ・グループを選択します。
    11. 「発行」を選択します。
    12. ロード・バランサが作成されたら、後で使用するためにパブリックIPアドレスをノートにとります。
  8. バックエンドをロード・バランサに追加します。
    作成後、ロード・バランサは未完了としてマークされ、バックエンドを追加する必要があります。バックエンドは、OACインスタンスのIPアドレスです。
    1. 作成画面で、IPアドレスを選択します。
    2. 「IPアドレス」で、ポートとして443を入力します。
    3. 「追加」を選択します。
  9. アイデンティティ・ドメインでOACアプリケーションを構成します。
    OACがプロビジョニングされると、IDCSドメインの一部としてプロビジョニングされ、関連付けられたIDCSアプリケーションが作成されます。ドメイン内のOACへのユーザー・アクセスの構成を行う必要があります。この例で使用されているドメインはdev-domainです。
    1. OACへのアクセスが必要なユーザーのグループを作成します。
    2. OACへのアクセスが必要なすべてのユーザーのローカル・ユーザー・アカウントを作成します。
    3. 各ユーザーをグループに追加します。
    4. Oracle Cloud ServicesのIDCSドメインで、構成された権限を必要とするOACインスタンスを選択します。
    5. 「アプリケーション・ロール」を選択します。
    6. アプリケーション・ロールごとに、「割当済グループの管理」を選択します。
    7. ステップaで作成したグループを追加します。
    8. 各アプリケーション・ロールについてステップfとgを繰り返します。
  10. 新規ユーザーを追加し、グループを更新します。
    1. リソース・アナリティクスおよびOACが設定されているテナンシでOCIコンソールにサインインします。
    2. 「アイデンティティおよびセキュリティ」にナビゲートします。
    3. 「ドメイン」を選択します。
    4. OACが存在するドメインを選択します。
    5. 「ユーザー」を選択します。
    6. 「ユーザーの作成」を選択します。
    7. 名、姓およびEメール・アドレスを入力します。ユーザーは、Activate your profile in account - <tenancy_name> というタイトルのEメールを受け取ります。ユーザーは自分のアカウントをアクティブ化し、パスワードを変更する必要があります。
    8. 「グループ」を選択します。
    9. OACインスタンス用に作成されたグループを選択します。
    10. 「グループへのユーザーの割当て」を選択します。
    11. 追加するユーザーを選択します。
  11. /etc/hostsファイルを、OACの名前およびパブリック・ロード・バランサのIPで更新します。
    1. 「分析とAI」に移動します。
    2. 「分析クラウド」を選択します。
    3. 適切なコンパートメントが選択されていることを確認します。
    4. アクセスするOACを選択します。
    5. 「追加の詳細」を選択し、OACインスタンスのホスト名を収集します。
    6. TextEditウィンドウでhostsファイルを開くには、ターミナルを開き、次のコマンドを実行します:
      sudo open -e /etc/hosts
    7. パブリック・ロード・バランサIPとプライベートOACインスタンスのホスト名をペアにするOACの行を追加します。たとえば: 
      
                                        <IP_address>
                                        <resource-analytics-ocid>
    1. 変更を保存します。
    2. VPNから切断し、次のURL xj5i3m6hc5c.analytics.us-dcc-phoenix-1.ocp.oraclecloud17.com/uiに移動します。
    3. 前に作成したローカルのユーザー名とパスワードでログインします。

要塞を介したアクセスの構成

要塞は、プライベート・ロード・バランサにアクセスするように設定できます。

  1. OACが存在するプライベート・サブネットをターゲットとするOCI要塞を作成します。
  2. Bastionを介したアクセスを許可するために、ラップトップまたはコンピュート・デバイスが接続されているネットワークからCIDRブロックを指定してください
  3. 要塞からセッションを作成します(必要に応じてSSHキーを設定します)。
  4. ポート443でsshに指定されている手順に従います。
    ノート

    Mac上のループバック127.0.0.1 IPアドレスにアクセスする必要があるため、sshコマンドにsudoを使用する必要がある場合があります。たとえば、sshコマンドは次のようになります。
    ssh -i <private_key_location> -N -L 443:10.0.1.27:443 -p 22 <bastion_ocid>
  5. /etc/hostsファイルに、プライベートOACのホスト名を含むループバック・アドレスのエントリを追加します。
    たとえば:
    127.0.0.1 <resource-analytics-private-OAC-hostname>
    ノート

    要塞セッションは最大3時間続くため、新しいセッションの再認証を開始する必要があります。