Estabelecer Conexão com o Oracle Cloud Infrastructure GoldenGate usando um IP privado

Use o OCI Bastion para proteger o acesso à Console de Implantação do OCI GoldenGate.

Visão geral

O OCI GoldenGate só está acessível usando um ponto final privado de dentro da rede do OCI ou por meio de um bastion host que protege o acesso aos recursos do OCI. Embora este exemplo de início rápido use o OCI Bastion, é possível usar o seu próprio bastion. Esse início rápido inclui ambas as opções, para que você possa escolher o que melhor funciona para você.

Veja a seguir a descrição da ilustração qs-bastion.png
Descrição da ilustração Qs-bastion.png

Antes de começar

Para continuar, você deve ter o seguinte:

  • Uma conta de avaliação gratuita ou paga do Oracle Cloud Infrastructure
  • Acesso ao OCI GoldenGate
  • Uma implantação do OCI GoldenGate em uma sub-rede privada e sem um ponto final público
  • Para o OCI Bastion:
    • Acesso ao serviço
    • Acesso ao OCI Bastion ou ao seu próprio bastion no OCI Compute
  • Para seu próprio bastion no OCI Compute:
    • Acesso ao OCI Compute
    • Sub-redes públicas e privadas configuradas em cada domínio de disponibilidade

      Observação:

      A Oracle recomenda criar uma sub-rede pública separada exclusivamente para hosts bastion para garantir que a lista De Segurança apropriada seja designada ao host correto.

Opção A: Usar o OCI Bastion

Você pode usar o OCI Bastion ou usar o seu próprio. Este exemplo usa o OCI Bastion.

Observação:

Para Nuvem do Governo dos EUA com Autorização FedRAMP, você deve usar a Opção B. O serviço OCI Bastion não está disponível atualmente nessas regiões.
  1. Crie um bastion. Verifique se:
    1. Usar a mesma VCN da implantação e da sub-rede do OCI GoldenGate de destino.

      Observação:

      A sub-rede pode ser igual à implantação do OCI GoldenGate ou à que tem acesso à sub-rede do OCI GoldenGate.
    2. Inclua os endereços IP das máquinas usadas para estabelecer conexão com o OCI Bastion na Lista de Permissão de Bloco CIDR.
  2. Criar uma sessão de encaminhamento para a porta SSH.
    1. Para Endereço IIP, informe o IP privado da implantação do OCI GoldenGate. Você pode encontrar o IP privado na página Detalhes da implantação.
    2. Para Porta, informe 443.
    3. Em Adicionar Chave SSH, forneça o arquivo de chaves públicas do par SSH a ser usado para a sessão.
  3. Após a criação da sessão, no menu Ações (três pontos) da sessão, selecione Copiar Comando SSH.
  4. Cole o comando em um editor de texto e substitua os placeholders <privateKey> e <localPort> pelo caminho para a chave privada e a porta 443.
  5. Execute o comando usando a interface de linha de comando para criar o túnel.
  6. Abra um web browser e vá para https://localhost.

Observação:

  • Certifique-se de adicionar uma regra de Entrada para o Bastion host na lista de segurança da Sub-rede Privada. Saiba mais.
  • Se você encontrar a seguinte mensagem de erro,
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    em seguida, você deve adicionar uma entrada no arquivo de hosts da máquina cliente para mapear 127.0.0.1 para seu FQDN de implantação. Por exemplo:

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

Opção B: Usar seu próprio bastion no OCI Compute

  1. Crie uma instância de computação na sub-rede pública da mesma VCN que a implantação OCI GoldenGate.

    Observação:

    Neste exemplo, o CIDR de sub-rede pública é 10.0.0.0/24. O mesmo valor do CIDR será usado quando você adicionar uma regra de entrada à lista de segurança de sub-rede privada.
  2. Verifique a lista de segurança padrão para a sub-rede pública:
    1. No Menu de Navegação da Console do Oracle Cloud, selecione Rede e, em seguida, Redes virtuais na nuvem.
    2. Na lista de redes de nuvem Virtual, selecione sua VCN para exibir seus detalhes.
    3. Na página de detalhes da VCN, clique em Segurança e selecione a lista de Segurança Padrão para <a sub-rede pública>.
    4. Na página de detalhes Lista de Segurança Padrão, clique em Regras de segurança. Essa lista de segurança deve incluir uma regra para Acesso SSH:
      Sem Informações de Estado Origem Protocolo IP Faixa de Portas de Origem Faixa de Portas de Destino Tipo e Código Permite
      No 0.0.0.0/0 TCP Tudo 22 N/D Tráfego TCP nas portas: 22 Protocolo de Log-in Remoto SSH

      Se a lista de segurança não incluir essa regra, clique em Adicionar Regras de Entrada e preencha o formulário usando os valores acima.

  3. Adicione uma regra de Entrada à lista de segurança de sub-rede Privada para permitir conectividade com o OCI GoldenGate pela sub-rede pública.
    1. Na página de detalhes da VCN, clique em Segurança e selecione a Lista de Segurança para Sub-rede Privada para exibir seus detalhes.
    2. Na página de detalhes Lista de Segurança para Sub-rede Privada, clique em Regras de segurança. Clique em Adicionar Regras de Entrada.
    3. Na página Adicionar Regras de Entrada, preencha os campos da seguinte forma e clique em Adicionar Regras de Entrada:
      1. Para Tipo de Origem, selecione CIDR.
      2. Para CIDR de Origem, informe o valor de CIDR de sub-rede pública (10.0.0.0/24).
      3. Para Protocolo IP, selecione TCP.
      4. Para Intervalo de Portas de destino, informe 443.
  4. (Usuários do Windows) Crie uma sessão para estabelecer conexão com o bastion host usando PuTTY:
    1. Na tela de configuração da Sessão PuTTY, informe o IP público do serviço Compute para Nome do Host. Você pode deixar 22 como o valor da Porta.
    2. Na categoria Conexão, expanda SSH, clique em Autenticação e, em seguida, clique em Procurar para localizar o privado usado para criar a instância do serviço Compute.
    3. Clicar em Túneis no painel Categoria, informar 443 para a porta de Origem e <deployment-hostname>:443 para Destino.
    4. (Opcional) Retorne à categoria Sessão e salve os detalhes da sessão.
    5. Clique emAbrir para estabelecer conexão.
  5. (Usuários do Linux) Crie uma sessão para estabelecer conexão com o bastion host usando a linha de comando:
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. Depois de conectado com sucesso, abra uma janela do browser e digite https://localhost na barra de endereço. Você é levado à console de implantação do OCI GoldenGate.

Problemas conhecidos

Erro de url de redirecionamento inválido ao tentar acessar uma implantação ativada para o IAM usando um IP

Ao tentar acessar uma implantação ativada para o IAM usando o endereço IP da implantação, você encontra o seguinte erro:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

Solução alternativa: você pode executar uma das seguintes ações:

Opção 1: Adicione o endereço IP de implantação ao seu Aplicativo de Domínio de Identidades. Para fazer essa alteração, você deve fazer parte do grupo de usuários atribuído ao aplicativo.

  1. No menu de navegação do Oracle Cloud, selecione Identidade e Segurança e, em Identidade, clique em Domínios.
  2. Selecione seu domínio na lista Domínios.
  3. No menu de recursos do Domínio de Identidades do domínio, selecione Oracle Cloud Services.
  4. Selecione seu aplicativo na lista Oracle Cloud Services. Por exemplo, Aplicativo GGS INFRA para ID de Implantação:<deployment OCID>.
  5. Na página do aplicativo em configuração OAuth, clique em Editar configuração OAuth.
  6. Para URL de Redirecionamento, informe o URL da Console da implantação com o IP da implantação no lugar do domínio. Por exemplo: https://<deployment-ip>/services/adminsrvr/v2/authorization.
  7. Salve as alterações.
Opção 2: Adicione uma entrada no arquivo de hosts da máquina cliente para mapear 127.0.0.1 para seu FQDN de implantação (substitua <region> pela região apropriada). Por exemplo:
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com