Estabelecer Conexão com o Oracle Cloud Infrastructure GoldenGate usando um IP privado

Aprenda a criar, configurar e usar o OCI Bastion para proteger o acesso à sua console de implantação do OCI GoldenGate.

Visão geral

O OCI GoldenGate só está acessível usando um ponto final privado de dentro da rede do OCI ou por meio de um bastion host que protege o acesso aos recursos do OCI. Embora este exemplo do início rápido utilize o OCI Bastion, é possível que você use seu próprio bastion. Este início rápido inclui ambas as opções, de modo que você possa selecionar o que funciona melhor para você.

Veja a seguir a descrição da ilustração qs-bastion.png

Descrição da ilustração qs-bastion.png

Antes de começar

Para continuar, você deve ter o seguinte:

Uma conta de avaliação gratuita ou paga do Oracle Cloud Infrastructure
Acesso ao OCI GoldenGate
Uma implantação do OCI GoldenGate em uma sub-rede privada e sem um ponto final público
Para o OCI Bastion:
- Acesso ao serviço
- Acesso ao OCI Bastion ou ao seu próprio bastion no OCI Compute
Para seu próprio bastion no OCI Compute:
- Acesso ao OCI Compute
- Sub-redes públicas e privadas configuradas em cada domínio de disponibilidade
  
  Observação: A Oracle recomenda criar uma sub-rede pública separada exclusivamente para hosts bastion para garantir que a lista da segurança apropriada seja designada ao host correto.

Opção A: Usar o OCI Bastion

Você pode usar o OCI Bastion ou usar o seu próprio. Este exemplo usa o OCI Bastion.

Crie um bastion. Verifique se:
1. Usar a mesma VCN da implantação e da sub-rede do OCI GoldenGate de destino.
  
  Observação: A sub-rede pode ser a mesma que a implantação do OCI GoldenGate ou que tem acesso à sub-rede do OCI GoldenGate.
2. Inclua os endereços IP dos sistemas usados para estabelecer conexão com o OCI Bastion na Lista de Permissão de Blocos CIDR.
Criar uma sessão de encaminhamento para a porta SSH.
1. Para Endereço IIP, informe o IP privado da implantação do OCI GoldenGate. Você pode encontrar o IP privado na página Detalhes da implantação.
2. Para Porta, informe 443.
3. Em Adicionar Chave SSH, forneça o arquivo de chaves públicas do par SSH a ser usado para a sessão.
Após a criação da sessão, no menu Ações (três pontos) da sessão, selecione Copiar Comando SSH.
Cole o comando em um editor de texto e substitua os placeholders <privateKey> e <localPort> pelo caminho para a chave privada e a porta 443.
Execute o comando usando a interface de linha de comando para criar o túnel.
Abra um web browser e vá para https://localhost.
Observação:
- Certifique-se de adicionar uma regra de Entrada para o Bastion host na lista de segurança da Sub-rede Privada. Saiba mais.
- Se você encontrar a seguinte mensagem de erro,
```
{"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}
```
  em seguida, você deve adicionar uma entrada no arquivo de hosts do cliente para mapear 127.0.0.1 para seu FQDN de implantação. Por exemplo:
```
127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com
```

Opção B: Usar seu próprio bastion no OCI Compute

Crie uma instância de computação na sub-rede pública da mesma VCN que a implantação OCI GoldenGate.

Observação: Neste exemplo, o CIDR da sub-rede pública é 10.0.0.0/24. O mesmo valor do CIDR será usado quando você adicionar uma regra de entrada à lista de segurança de sub-rede privada.

Verifique a lista de segurança padrão para a sub-rede pública:

No Menu de navegação da console do Oracle Cloud, selecione Rede e, em seguida, Redes virtuais na nuvem.
Na lista de redes de nuvem Virtual, selecione sua VCN para exibir seus detalhes.
Na página de detalhes da VCN, selecione Segurança e, em seguida, Lista de Segurança Padrão para <a sub-rede pública>.

Na página de detalhes Lista de Segurança Padrão, selecione Regras de segurança. Essa lista de segurança deve incluir uma regra para Acesso SSH:

Sem Informações de Estado	Origem	Protocolo IP	Faixa de Portas de Origem	Faixa de Portas de Destino	Tipo e Código	Permite
No	0.0.0.0/0	TCP	Tudo	22	N/D	Tráfego TCP nas portas: 22 Protocolo de Log-in Remoto SSH

Se a lista de segurança não incluir essa regra, selecione Adicionar Regras de Entrada e preencha o formulário usando os valores acima.

Adicione uma regra de Entrada à lista de segurança de sub-rede Privada para permitir conectividade com o OCI GoldenGate pela sub-rede pública.
1. Na página de detalhes da VCN, selecione Segurança e, em seguida, selecione a Lista de Segurança para Sub-rede Privada para exibir seus detalhes.
2. Na página de detalhes Lista de Segurança para Sub-rede Privada, selecione Regras de segurança. Selecione Adicionar Regras de Entrada.
3. Na página Adicionar Regras de Entrada, preencha os campos da seguinte forma e, em seguida, selecione Adicionar Regras de Entrada:
  1. Para Tipo de Origem, selecione CIDR.
  2. Para CIDR de Origem, informe o valor de CIDR de sub-rede pública (10.0.0.0/24).
  3. Para Protocolo IP, selecione TCP.
  4. Para Intervalo de Portas de destino, informe 443.
(Usuários do Windows) Crie uma sessão para estabelecer conexão com o bastion host usando PuTTY:
1. Na tela de configuração Sessão do PuTTY, informe o IP público da instância do serviço Compute para Nome do Host. Você pode deixar 22 como o valor da Porta.
2. Na categoria Conexão, expanda SSH, selecione Autenticação e selecione Procurar para localizar o privado que você usou para criar a instância do serviço Compute.
3. Selecione Túneis no painel Categoria, informe 443 para a porta de Origem e <deployment-hostname>:443 para Destino.
4. (Opcional) Retorne à categoria Sessão e salve os detalhes da sessão.
5. Selecione Abrir para estabelecer conexão.
(Usuários do Linux) Crie uma sessão para estabelecer conexão com o bastion host usando a linha de comando:
```
ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
```
Depois de conectado com sucesso, abra uma janela do browser e digite https://localhost na barra de endereço. Você é levado à console de implantação do OCI GoldenGate.

Problemas conhecidos

Erro de url de redirecionamento inválido ao tentar acessar uma implantação ativada para o IAM usando um IP

Ao tentar acessar uma implantação ativada para o IAM usando o endereço IP da implantação, você encontra o seguinte erro:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

Solução alternativa: você pode executar uma das seguintes ações:

Opção 1: Adicione o endereço IP de implantação ao seu Aplicativo de Domínio de Identidades. Para fazer essa alteração, você deve fazer parte do grupo de usuários atribuído ao aplicativo.

No menu de navegação do Oracle Cloud, selecione Identidade e Segurança e, em Identidade, selecione Domínios.
Selecione seu domínio na lista Domínios.
No menu de recursos do Domínio de Identidades do domínio, selecione Oracle Cloud Services.
Selecione seu aplicativo na lista Oracle Cloud Services. Por exemplo, Aplicativo GGS INFRA para Id de Implantação:<OCID de Implantação>.
Na página do aplicativo em configuração do OAuth, selecione Editar configuração do OAuth.
Para URL de Redirecionamento, informe o URL da Console da implantação com o IP da implantação no lugar do domínio. Por exemplo: https://<deployment-ip>/services/adminsrvr/v2/authorization.
Salve as alterações.

Opção 2: Adicione uma entrada no arquivo de hosts do cliente para mapear 127.0.0.1 para seu FQDN de implantação (substitua <region> pela região apropriada). Por exemplo:

127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com