프라이빗 IP를 사용하여 Oracle Cloud Infrastructure GoldenGate에 접속

OCI 배스천을 사용하여 OCI GoldenGate 배치 콘솔에 보안 액세스합니다.

개요

OCI GoldenGate는 OCI 네트워크 내부의 프라이빗 엔드포인트 또는 OCI 리소스에 대한 액세스를 보호하는 배스천 호스트를 통해서만 액세스할 수 있습니다. 이 빠른 시작 예제는 OCI 배스천을 사용하지만 자체 배스천을 사용할 수 있습니다. 이 빠른 시작에는 두 가지 옵션이 모두 포함되어 있으므로 사용자에게 가장 적합한 옵션을 선택할 수 있습니다.

다음과 같이 qs-bastion.png에 대한 설명입니다.
그림 qs-bastion.png에 대한 설명

시작하기 전에

계속하려면 다음이 있어야 합니다.

  • 무료 체험판 또는 유료 Oracle Cloud Infrastructure 계정
  • OCI에 대한 액세스 GoldenGate
  • 퍼블릭 엔드포인트가 없는 프라이빗 서브넷의 OCI GoldenGate 배포
  • OCI 배스천의 경우:
    • 서비스에 대한 액세스
    • OCI Bastion 또는 OCI Compute에서 자체 배스천에 액세스
  • OCI Compute의 배스천:
    • OCI 컴퓨트 액세스
    • 각 가용성 도메인에 구성된 공용 및 전용 서브넷

      주:

      Oracle은 적절한 보안 목록이 올바른 호스트에 지정되도록 하기 위해 배스천 호스트에 대해서만 별도의 공용 서브넷을 생성할 것을 권장합니다.

옵션 A: OCI 배스천 사용

OCI Bastion을 사용하거나 직접 사용할 수 있습니다. 이 예에서는 OCI Bastion을 사용합니다.

주:

FedRAMP 권한이 부여된 US Government Cloud의 경우 옵션 B를 사용해야 합니다. OCI 배스천 서비스는 현재 이 지역에서 사용할 수 없습니다.
  1. 배스천 생성. 다음을 수행했는지 확인합니다.
    1. 대상 OCI GoldenGate 배치 및 서브넷과 동일한 VCN을 사용합니다.

      주:

      서브넷은 OCI GoldenGate 배치 또는 OCI GoldenGate 서브넷에 대한 액세스 권한이 있는 서브넷과 동일할 수 있습니다.
    2. OCI 배스천에 접속하는 데 사용되는 시스템의 IP 주소를 CIDR 블록 허용 목록에 포함합니다.
  2. SSH 포트 전달 세션을 만듭니다.
    1. IP 주소에 OCI GoldenGate 배치의 프라이빗 IP를 입력합니다. 배치의 세부 정보 페이지에서 전용 IP를 찾을 수 있습니다.
    2. 포트443을 입력합니다.
    3. Add SSH Key(SSH 키 추가)에서 세션에 사용할 SSH 키 쌍의 공개 키 파일을 제공합니다.
  3. 세션이 생성된 후 세션의 작업(점 3개) 메뉴에서 SSH 명령 복사를 선택합니다.
  4. 명령을 텍스트 편집기에 붙여 넣은 다음 <privateKey><localPort> 위치 표시자를 개인 키 및 포트 443에 대한 경로로 바꿉니다.
  5. 명령줄 인터페이스를 사용하여 명령을 실행하여 터널을 만듭니다.
  6. 웹 브라우저를 열고 https://localhost로 이동합니다.

주:

  • 전용 서브넷의 보안 목록에 배스천 호스트에 대한 수신 규칙을 추가했는지 확인합니다. 자세히 알아보기.
  • 다음과 같은 오류 메시지가 나타나면
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    127.0.0.1를 배치 FQDN에 매핑하려면 클라이언트 시스템 hosts 파일에 항목을 추가해야 합니다. 예:

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

옵션 B: OCI Compute에서 자체 배스천 사용

  1. OCI GoldenGate 배치와 동일한 VCN의 공용 서브넷에 컴퓨트 인스턴스를 생성합니다.

    주:

    이 예에서 공용 서브넷 CIDR은 10.0.0.0/24입니다. 프라이빗 서브넷 보안 목록에 수신 규칙을 추가할 때 동일한 CIDR 값이 사용됩니다.
  2. 공용 서브넷의 기본 보안 목록을 확인합니다.
    1. Oracle Cloud 콘솔 탐색 메뉴에서 네트워킹, 가상 클라우드 네트워크 순으로 선택합니다.
    2. 가상 클라우드 네트워크 목록에서 VCN을 선택하여 세부정보를 확인합니다.
    3. VCN 세부정보 페이지에서 보안을 누른 다음 <공용 서브넷>에 대한 기본 보안 목록을 선택합니다.
    4. 기본 보안 목록 세부정보 페이지에서 보안 규칙을 누릅니다. 이 보안 목록에는 SSH 액세스 규칙이 포함되어야 합니다.
      Stateless 소스 IP 프로토콜 소스 포트 범위 대상 포트 범위 유형 및 코드 허용
      아니요 0.0.0.0/0 TCP 모두 22 N/A 포트: 22 SSH 원격 로그인 프로토콜에 대한 TCP 트래픽

      보안 목록에 이 규칙이 포함되지 않은 경우 수신 규칙 추가를 누르고 위 값을 사용하여 폼을 완성합니다.

  3. 퍼블릭 서브넷에서 OCI GoldenGate에 대한 접속을 허용하도록 프라이빗 서브넷 보안 목록에 수신 규칙을 추가합니다.
    1. VCN 세부정보 페이지에서 보안을 누른 다음 프라이빗 서브넷에 대한 보안 목록을 선택하여 세부정보를 확인합니다.
    2. 개인 서브넷 세부정보 페이지의 보안 목록에서 보안 규칙을 누릅니다. 수신 규칙 추가를 누릅니다.
    3. [수신 규칙 추가] 페이지에서 다음과 같이 필드에 정보를 입력한 다음 수신 규칙 추가를 누릅니다.
      1. 소스 유형에 대해 CIDR을 선택합니다.
      2. 소스 CIDR에 공용 서브넷 CIDR 값(10.0.0.0/24)을 입력합니다.
      3. IP Protocol의 경우 TCP를 선택합니다.
      4. 대상 포트 범위443를 입력합니다.
  4. (Windows 사용자) PuTTY를 사용하여 배스천 호스트에 연결할 세션을 생성합니다.
    1. PuTTY Session Configuration 화면에서 Host Name에 대한 컴퓨트 인스턴스의 공용 IP를 입력합니다. 포트의 값으로 22를 그대로 둘 수 있습니다.
    2. Connection(연결) 범주에서 SSH를 확장하고 Auth(인증)를 누른 후 Browse(찾아보기)를 눌러 컴퓨트 인스턴스 생성에 사용한 전용을 찾습니다.
    3. [범주] 패널에서 터널을 누르고 소스 포트의 경우 443, 대상의 경우 <deployment-hostname>:443를 입력합니다.
    4. (선택 사항) Session 범주로 돌아가서 세션 세부 정보를 저장합니다.
    5. 연결하려면 열기를 누릅니다.
  5. (Linux 유저) 명령행을 사용하여 배스천 호스트에 연결할 세션을 생성합니다.
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. 연결이 성공적으로 완료되면 브라우저 창을 열고 주소 표시줄에 https://localhost를 입력합니다. OCI GoldenGate 배치 콘솔로 이동합니다.

알려진 문제

IP를 사용하여 IAM 사용 배치에 액세스하려고 시도하는 중 부적합한 재지정 URL 오류가 발생했습니다.

배치의 IP 주소를 사용하여 IAM 사용 배치에 액세스하려고 시도할 때 다음 오류가 발생합니다.

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

임시해결책: 다음 중 하나를 수행합니다.

옵션 1: ID 도메인 애플리케이션에 배치 IP 주소를 추가합니다. 이를 변경하려면 응용 프로그램에 지정된 사용자 그룹의 일부여야 합니다.

  1. Oracle Cloud 탐색 메뉴에서 ID 및 보안을 선택한 다음 ID에서 도메인을 누릅니다.
  2. Domains(도메인) 목록에서 도메인을 선택합니다.
  3. 도메인의 ID 도메인 리소스 메뉴에서 Oracle Cloud Services를 선택합니다.
  4. Oracle Cloud Services 목록에서 애플리케이션을 선택합니다. 예를 들어, GGS INFRA Application for Deployment Id:<deployment OCID>입니다.
  5. 애플리케이션 페이지의 OAuth 구성에서 OAuth 구성 편집을 누릅니다.
  6. 재지정 URL의 경우 도메인 대신 배치의 IP가 포함된 배치의 콘솔 URL을 입력합니다. 예: https://<deployment-ip>/services/adminsrvr/v2/authorization.
  7. 변경사항을 저장합니다.
옵션 2: 클라이언트 시스템 hosts 파일에 127.0.0.1를 배치 FQDN에 매핑하는 항목을 추가합니다(<region>를 해당 영역으로 바꿉니다). 예:
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com