プライベートIPを使用したOracle Cloud Infrastructure GoldenGateへの接続

OCI Bastionを作成、設定および使用して、OCI GoldenGateデプロイメント・Consoleへのアクセスを保護する方法について学習します。

概要

OCI GoldenGateには、OCIネットワーク内から、またはOCIリソースへのアクセスを保護する要塞ホストを介して、プライベート・エンドポイントを使用する方法でのみアクセスできます。このクイックスタートの例では、OCI Bastionを使用していますが、独自の要塞を使用することもできます。このクイックスタートには両方のオプションが含まれているため、最も適切なものを選択できます。

図qs-bastion.pngの説明

開始する前に

続行するには、次が必要です:

• 無料トライアルまたは有料のOracle Cloud Infrastructureアカウント

• OCI GoldenGateへのアクセス

• プライベート・サブネット内の、パブリック・エンドポイントなしのOCI GoldenGateデプロイメント

• OCI Bastionの場合:

  • サービスへのアクセス

  • OCI BastionまたはOCIコンピュート上の独自の要塞へのアクセス

• OCIコンピュート上の独自の要塞の場合:

  • OCIコンピュートへのアクセス

  • 各可用性ドメインに構成されたパブリックおよびプライベート・サブネット

    ノート: Oracleでは、適切なセキュリティ・リストが正しいホストに割り当てられるように、要塞ホストのみに個別のパブリック・サブネットを作成することをお薦めします。

オプションA: OCI Bastionの使用方法

OCI Bastionを使用するか、独自の要塞を使用できます。この例ではOCI Bastionを使用します。

1. 要塞を作成します。次を確認します:

   1. ターゲットOCI GoldenGateデプロイメントおよびサブネットと同じVCNを使用します。

      ノート:サブネットは、OCI GoldenGateデプロイメントと同じか、OCI GoldenGateのサブネットへのアクセス権を持つサブネットにすることができます。

   2. CIDRブロック許可リストに、OCI Bastionへの接続に使用するシステムのIPアドレスを含めます。

2. SSHポート転送セッションを作成します。

   1. 「IPアドレス」に、OCI GoldenGateデプロイメントのプライベートIPを入力します。プライベートIPは、デプロイメントの「詳細」ページで確認できます。

   2. 「ポート」に、443と入力します。

   3. 「SSHキーの追加」で、セッションに使用するSSHキー・ペアの公開鍵ファイルを指定します。

3. セッションの作成後、セッションの「アクション」(3つのドット)メニューから「SSHコマンドのコピー」を選択します。

4. コマンドをテキスト・エディタに貼り付け、<privateKey>および<localPort>プレースホルダを秘密キーおよびポート443へのパスに置き換えます。

5. コマンドライン・インタフェースを使用してコマンドを実行し、トンネルを作成します。

6. Webブラウザを開き、https://localhostに移動します。

   ノート:

   • プライベート・サブネットのセキュリティ・リストに要塞ホストのイングレス・ルールを追加していることを確認してください。さらに学ぶ。

   • 次のエラーメッセージが表示される場合、

     {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

     127.0.0.1をデプロイメントFQDNにマップするには、クライアント・ホスト・ファイルにエントリを追加する必要があります。たとえば:

     127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

オプションB: OCIコンピュート上の独自の要塞を使用

1. OCI GoldenGateデプロイメントと同じVCNのパブリック・サブネットにコンピュート・インスタンスを作成します。

   ノート:この例では、パブリック・サブネットCIDRは10.0.0.0/24です。イングレス・ルールをプライベート・サブネットのセキュリティ・リストに追加する場合、同じCIDR値が使用されます。

2. パブリック・サブネットのデフォルト・セキュリティ・リストを確認します:

   1. Oracle Cloudコンソールのナビゲーション・メニューから、「ネットワーキング」、「仮想クラウド・ネットワーク」の順に選択します。

   2. 仮想クラウド・ネットワークのリストから、詳細を表示するVCNを選択します。

   3. VCNの詳細ページで、「セキュリティ」を選択し、「<パブリック・サブネット>のデフォルト・セキュリティ・リスト」を選択します。

   4. デフォルト・セキュリティ・リストの詳細ページで、「セキュリティ・ルール」を選択します。このセキュリティ・リストには、SSHアクセスのルールが含まれている必要があります:

      ステートレス	ソース:	IPプロトコル	ソース・ポート範囲	宛先ポート範囲	タイプおよびコード	許可
      ×	0.0.0.0/0	TCP	すべて	22	N/A	ポートのTCPトラフィック: 22 SSHリモート・ログイン・プロトコル

      セキュリティ・リストにこのルールが含まれていない場合は、「イングレス・ルールの追加」を選択し、前述の値を使用してフォームに入力します。

3. プライベート・サブネットのセキュリティ・リストにイングレス・ルールを追加して、パブリック・サブネットからOCI GoldenGateへの接続を許可します。

   1. VCNの詳細ページで、「セキュリティ」を選択し、「プライベート・サブネットのセキュリティ・リスト」を選択してその詳細を表示します。

   2. 「プライベート・サブネットのセキュリティ・リスト」詳細ページで、「セキュリティ・ルール」を選択します。「イングレス・ルールの追加」を選択します。

   3. 「イングレス・ルールの追加」ページで、次のようにフィールドに入力します。「イングレス・ルールの追加」を選択します:

      1. 「ソース・タイプ」で、「CIDR」を選択します。

      2. 「ソースCIDR」に、パブリック・サブネットCIDR値(10.0.0.0/24)を入力します。

      3. 「IPプロトコル」で、「TCP」を選択します。

      4. 「宛先ポート範囲」で、443と入力します。

4. (Windowsユーザー) PuTTYを使用して要塞ホストに接続するセッションを作成します:

   1. PuTTYセッション構成画面で、「Host Name」にコンピュート・インスタンスのパブリックIPを入力します。「Port」の値は22のままにできます。

   2. 「Connection」カテゴリの下で、「SSH」を展開し、「Auth」を選択してから、「Browse」を選択してコンピュート・インスタンスの作成に使用されたプライベートを特定します。

   3. 「Category」パネルの「Tunnels」を選択し、「Source port」に443と入力し、「Destination」に<deployment-hostname>:443を入力します。

   4. (オプション)「Session」カテゴリに戻り、セッションの詳細を保存します。

   5. 「Open」を選択して接続します。

5. (Linuxユーザー)コマンドラインを使用して要塞ホストに接続するセッションを作成します:

   ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N

6. 正常に接続したら、ブラウザ・ウィンドウを開き、アドレス・バーにhttps://localhostと入力します。OCI GoldenGateデプロイメント・コンソールに移動します。

既知問題

IPを使用してIAM対応デプロイメントにアクセスしようとして、無効なリダイレクトURLエラーが発生しました

デプロイメントのIPアドレスを使用してIAM対応デプロイメントにアクセスしようとすると、次のエラーが発生します:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

回避方法:次のいずれかを実行できます。

オプション1: アイデンティティ・ドメイン・アプリケーションにデプロイメントIPアドレスを追加します。この変更を行うには、アプリケーションに割り当てられたユーザー・グループに属している必要があります。

1. Oracle Cloudのナビゲーション・メニューで、「アイデンティティとセキュリティ」を選択し、「アイデンティティ」で「ドメイン」を選択します。

2. 「ドメイン」リストからドメインを選択します。

3. ドメインの「アイデンティティ・ドメイン」リソース・メニューから、「Oracle Cloud Services」を選択します。

4. 「Oracle Cloud Services」リストからアプリケーションを選択します。たとえば、GGS INFRA Application for Deployment Id:<deployment OCID>です。

5. 「OAuth構成」の下のアプリケーション・ページで、「OAuth構成の編集」を選択します。

6. 「リダイレクトURL」に、デプロイメントのコンソールURLを、ドメインのかわりにデプロイメントのIPとともに入力します。例: https://<deployment-ip>/services/adminsrvr/v2/authorization。

7. 変更を保存します。

オプション2:クライアントのhostsファイルにエントリを追加して、127.0.0.1をデプロイメントFQDNにマップします(<region>を適切なリージョンに置き換えます)。たとえば:

127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com