プライベートIPを使用したOracle Cloud Infrastructure GoldenGateへの接続

OCI Bastionを使用して、OCI GoldenGateデプロイメント・コンソールへのアクセスを保護します。

関連項目

概要

OCI GoldenGateには、OCIネットワーク内から、またはOCIリソースへのアクセスを保護する要塞ホストを介して、プライベート・エンドポイントを使用する方法でのみアクセスできます。このクイックスタートの例では、OCI Bastionを使用していますが、独自の要塞を使用することもできます。このクイックスタートには両方のオプションが含まれているため、最も適切なものを選択できます。

qs-bastion.pngの説明が続きます
図qs-bastion.pngの説明

開始する前に

続行するには、次が必要です:

  • 無料トライアルまたは有料のOracle Cloud Infrastructureアカウント
  • OCI GoldenGateへのアクセス
  • プライベート・サブネット内の、パブリック・エンドポイントなしのOCI GoldenGateデプロイメント
  • OCI Bastionの場合:
    • サービスへのアクセス
    • OCI BastionまたはOCIコンピュート上の独自の要塞へのアクセス
  • OCIコンピュート上の独自の要塞の場合:
    • OCIコンピュートへのアクセス
    • 各可用性ドメインに構成されたパブリックおよびプライベート・サブネット

      ノート:

      Oracleでは、適切なセキュリティ・リストが正しいホストに割り当てられるように、要塞ホストのみに個別のパブリック・サブネットを作成することをお薦めします。

オプションA: OCI Bastionを使用

OCI Bastionを使用するか、独自の要塞を使用できます。この例ではOCI Bastionを使用します。

ノート:

FedRAMP認可のUS Government Cloudでは、オプションBを使用する必要があります。OCI Bastionサービスは現在、これらのリージョンでは使用できません。
  1. 要塞を作成します。次を確認します:
    1. ターゲットOCI GoldenGateデプロイメントおよびサブネットと同じVCNを使用します。

      ノート:

      サブネットは、OCI GoldenGateデプロイメントと同じか、OCI GoldenGateサブネットへのアクセス権を持つサブネットにすることができます。
    2. CIDRブロック許可リストに、OCI Bastionへの接続に使用するマシンのIPアドレスを含めます。
  2. SSHポート転送セッションを作成します
    1. 「IPアドレス」に、OCI GoldenGateデプロイメントのプライベートIPを入力します。プライベートIPは、デプロイメントの「詳細」ページで確認できます。
    2. 「ポート」に、443と入力します。
    3. 「SSHキーの追加」で、セッションに使用するSSHキー・ペアの公開鍵ファイルを指定します。
  3. セッションの作成後、セッションの「アクション」(3つのドット)メニューから「SSHコマンドのコピー」を選択します。
  4. コマンドをテキスト・エディタに貼り付け、<privateKey>および<localPort>プレースホルダを秘密キーおよびポート443へのパスに置き換えます。
  5. コマンドライン・インタフェースを使用してコマンドを実行し、トンネルを作成します。
  6. Webブラウザを開き、https://localhostに移動します。

ノート:

  • プライベート・サブネットのセキュリティ・リストに要塞ホストのイングレス・ルールを追加していることを確認してください。さらに学ぶ
  • 次のエラー・メッセージが表示される場合、 
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    次に、クライアント・マシンのhostsファイルにエントリを追加して、127.0.0.1をデプロイメントFQDNにマップする必要があります。たとえば次のようにします。

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

オプションB: OCIコンピュート上の独自の要塞を使用

  1. OCI GoldenGateデプロイメントと同じVCNのパブリック・サブネットにコンピュート・インスタンスを作成します。

    ノート:

    この例では、パブリック・サブネットCIDRは10.0.0.0/24です。イングレス・ルールをプライベート・サブネットのセキュリティ・リストに追加する場合、同じCIDR値が使用されます。
  2. パブリック・サブネットのデフォルト・セキュリティ・リストを確認します:
    1. Oracle Cloudコンソールのナビゲーション・メニューから、「ネットワーキング」「仮想クラウド・ネットワーク」の順に選択します。
    2. 仮想クラウド・ネットワークのリストから、VCNを選択してその詳細を表示します。
    3. VCNの詳細ページで、「セキュリティ」をクリックし、<the public subnet>のデフォルト・セキュリティ・リストを選択します。
    4. 「デフォルト・セキュリティ・リストの詳細」ページで、「セキュリティ・ルール」をクリックします。このセキュリティ・リストには、SSHアクセスのルールが含まれている必要があります:
      ステートレス ソース: IPプロトコル ソース・ポート範囲 宛先ポート範囲 タイプおよびコード 許可
      × 0.0.0.0/0 TCP すべて 22 N/A ポートのTCPトラフィック: 22 SSHリモート・ログイン・プロトコル

      セキュリティ・リストにこのルールが含まれていない場合は、「イングレス・ルールの追加」をクリックし、前述の値を使用してフォームに入力します。

  3. プライベート・サブネットのセキュリティ・リストにイングレス・ルールを追加して、パブリック・サブネットからOCI GoldenGateへの接続を許可します。
    1. VCNの詳細ページで、「セキュリティ」をクリックし、「プライベート・サブネットのセキュリティ・リスト」を選択してその詳細を表示します。
    2. 「プライベート・サブネットのセキュリティ・リスト」詳細ページで、「セキュリティ・ルール」をクリックします。「イングレス・ルールの追加」をクリックします。
    3. 「イングレス・ルールの追加」ページで、次のようにフィールドに入力します。「イングレス・ルールの追加」をクリックします:
      1. 「ソース・タイプ」で、「CIDR」を選択します。
      2. 「ソースCIDR」に、パブリック・サブネットCIDR値(10.0.0.0/24)を入力します。
      3. 「IPプロトコル」で、「TCP」を選択します。
      4. 「宛先ポート範囲」で、443と入力します。
  4. (Windowsユーザー) PuTTYを使用して要塞ホストに接続するセッションを作成します:
    1. PuTTYセッション構成画面で、「Host Name」にコンピュート・インスタンスのパブリックIPを入力します。「Port」の値は22のままにできます。
    2. 「Connection」カテゴリの「SSH」を展開し、「Auth」をクリックしてから、「Browse」をクリックしてコンピュート・インスタンスの作成に使用されたプライベートを特定します。
    3. 「Category」パネルの「Tunnels」をクリックし、「Source port」に443と入力し、「Destination」に<deployment-hostname>:443を入力します。
    4. (オプション)「Session」カテゴリに戻り、セッションの詳細を保存します。
    5. 「Open」をクリックして接続します。
  5. (Linuxユーザー)コマンドラインを使用して要塞ホストに接続するセッションを作成します:
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. 正常に接続したら、ブラウザ・ウィンドウを開き、アドレス・バーにhttps://localhostと入力します。OCI GoldenGateデプロイメント・コンソールに移動します。

既知の事象

IPを使用してIAM対応のデプロイメントにアクセスしようとしたときのリダイレクトURLエラーが無効です

デプロイメントのIPアドレスを使用してIAM対応のデプロイメントにアクセスしようとすると、次のエラーが発生します:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

回避方法:次のいずれかを実行できます。

オプション1: アイデンティティ・ドメイン・アプリケーションにデプロイメントIPアドレスを追加します。この変更を行うには、アプリケーションに割り当てられているユーザー・グループに属している必要があります。

  1. Oracle Cloudのナビゲーション・メニューで、「アイデンティティとセキュリティ」を選択し、「アイデンティティ」で「ドメイン」をクリックします。
  2. 「ドメイン」リストからドメインを選択します。
  3. ドメインの「アイデンティティ・ドメイン」リソース・メニューから、「Oracle Cloud Services」を選択します。
  4. 「Oracle Cloud Services」リストからアプリケーションを選択します。たとえば、GGS INFRA Application for Deployment Id:<deployment OCID>です。
  5. アプリケーション・ページのOAuth構成で、「OAuth構成の編集」をクリックします。
  6. 「リダイレクトURL」に、ドメインのかわりにデプロイメントのIPを含むデプロイメントのコンソールURLを入力します。たとえば: https://<deployment-ip>/services/adminsrvr/v2/authorization
  7. 変更を保存します。
オプション2:クライアント・マシンのhostsファイルにエントリを追加して、127.0.0.1をデプロイメントFQDNにマップします(<region>を適切なリージョンに置き換えます)。たとえば次のようにします。 
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com