使用专用 IP 连接到 Oracle Cloud Infrastructure GoldenGate

使用 OCI 堡垒来保护对 OCI GoldenGate 部署控制台的访问。

概述

OCI GoldenGate 只能通过 OCI 网络中的专用端点访问,也可以通过堡垒主机访问 OCI 资源。此快速入门示例使用 OCI Bastion,但您可以使用自己的堡垒。此快速入门包括这两个选项,因此您可以选择最适合您的选项。

后面是 qs-bastion.png 的说明
插图 qs-bastion.png 的说明

开始之前

您必须具有以下项才能继续:

  • 免费试用或付费 Oracle Cloud Infrastructure 账户
  • 访问 OCI GoldenGate
  • 专用子网中没有公共端点的 OCI GoldenGate 部署
  • 对于 OCI 堡垒:
    • 对服务的访问权限
    • 在 OCI Compute 上访问 OCI 堡垒或您自己的堡垒
  • 对于您自己在 OCI Compute 上的堡垒:
    • 访问 OCI Compute
    • 在每个可用性域中配置的公共子网和专用子网

      注意:

      Oracle 建议仅为堡垒主机创建单独的公共子网,以确保将适当的安全列表分配给正确的主机。

选项 A:使用 OCI 堡垒

您可以使用 OCI Bastion 或使用您自己的堡垒。此示例使用 OCI Bastion。

注意:

对于具有 FedRAMP 授权的美国政府云,必须使用选项 B。OCI 堡垒服务当前在这些区域中不可用。
  1. 创建堡垒。确保:
    1. 使用与目标 OCI GoldenGate 部署和子网相同的 VCN。

      注意:

      该子网可以与 OCI GoldenGate 部署相同,也可以与可以访问 OCI GoldenGate 子网的子网相同。
    2. CIDR 块允许列表中包括用于连接到 OCI 堡垒的计算机的 IP 地址。
  2. Create a SSH port forwarding session (创建 SSH 端口转发会话)。
    1. 对于 IP Address(IP 地址),输入 OCI GoldenGate 部署的专用 IP。您可以在部署的“详细信息”页上找到专用 IP。
    2. 对于端口,输入 443
    3. 添加 SSH 密钥下,提供要用于会话的 SSH 密钥对的公共密钥文件。
  3. 创建会话后,从会话的操作(三个点)菜单中,选择复制 SSH 命令
  4. 将命令粘贴到文本编辑器中,然后将 <privateKey><localPort> 占位符替换为私钥和端口 443 的路径。
  5. 使用命令行界面运行命令以创建隧道。
  6. 打开 Web 浏览器并转至 https://localhost

注意:

  • 确保在专用子网的安全列表中为堡垒主机添加入站规则。了解更多信息
  • 如果遇到以下错误消息,
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    则必须在客户机主机文件中添加条目以将 127.0.0.1 映射到部署 FQDN。例如:

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

选项 B:在 OCI Compute 上使用您自己的堡垒

  1. 在与 OCI GoldenGate 部署相同的 VCN 的公共子网中创建计算实例。

    注意:

    在此示例中,公共子网 CIDR 为 10.0.0.0/24。将入站规则添加到专用子网安全列表时,将使用相同的 CIDR 值。
  2. 检查公共子网的默认安全列表:
    1. 从 Oracle Cloud 控制台导航菜单中,依次选择网络虚拟云网络
    2. 从虚拟云网络列表中,选择您的 VCN 以查看其详细信息。
    3. 在 VCN 详细信息页上,单击安全,然后选择 < 公共子网 > 的默认安全列表
    4. 在“默认安全列表”详细信息页面上,单击安全规则。此安全列表必须包含用于 SSH 访问的规则:
      无状态 IP 协议 源端口范围 目的地端口范围 类型和代码 允许
      0.0.0.0/0 TCP 全部 22 不适用 以下端口的 TCP 流量:22 SSH 远程登录协议

      如果安全列表不包含此规则,请单击添加入站规则,然后使用上述值填写表单。

  3. 将入站规则添加到专用子网安全列表,以允许从公共子网连接到 OCI GoldenGate。
    1. 在 VCN 详细信息页上,单击安全,然后选择专用子网的安全列表以查看其详细信息。
    2. 在 "Security List for Private Subnet"(专用子网的安全列表)详细信息页面上,单击 Security rules(安全规则)。单击添加入站规则
    3. 在“添加入站规则”页上,按如下方式填写字段,然后单击添加入站规则
      1. 对于源类型,选择 CIDR
      2. 对于源 CIDR ,输入公共子网 CIDR 值 (10.0.0.0/24)。
      3. 对于 IP Protocol ,选择 TCP
      4. 对于目标端口范围,输入 443
  4. (Windows 用户)创建会话以使用 PuTTY 连接到堡垒主机:
    1. 在 PuTTY 会话配置屏幕中,为主机名输入计算实例的公共 IP。您可以将 22 保留为端口的值。
    2. 在“连接”类别下,展开 SSH ,单击 Auth ,然后单击“浏览”以查找用于创建计算实例的专用实例。
    3. 在“类别”面板中单击隧道,在“源端口”中输入 443,在“目标”中输入 <deployment-hostname>:443
    4. (可选)返回到会话类别并保存会话详细信息。
    5. 单击打开进行连接。
  5. (Linux 用户)使用命令行创建会话以连接到堡垒主机:
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. 成功连接后,打开浏览器窗口并在地址栏中输入 https://localhost。您将进入 OCI GoldenGate 部署控制台。

已知问题

尝试使用 IP 访问启用了 IAM 的部署时出现无效的重定向 URL 错误

尝试使用部署的 IP 地址访问启用了 IAM 的部署时,会遇到以下错误:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

解决方法:您可以执行以下操作之一:

选项 1 :将部署 IP 地址添加到身份域应用程序。要进行此更改,您必须是分配给应用程序的用户组的一部分。

  1. 在 Oracle Cloud 导航菜单中,选择身份和安全,然后在“身份”下,单击
  2. 从“Domains(域)”列表中选择您的域。
  3. 从域的“身份域”资源菜单中选择 Oracle Cloud Services
  4. 从 Oracle Cloud Services 列表中选择应用程序。例如, GGS INFRA Application for Deployment Id:<deployment OCID>
  5. 在应用程序页上的 OAuth 配置下,单击编辑 OAuth 配置
  6. 对于重定向 URL ,输入部署的控制台 URL,并输入部署的 IP 代替域。例如:https://<deployment-ip>/services/adminsrvr/v2/authorization
  7. 保存所做更改。
选项 2:在客户机主机文件中添加一个条目以将 127.0.0.1 映射到部署 FQDN(将 <region> 替换为相应的区域)。例如:
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com