使用專用 IP 連線至 Oracle Cloud Infrastructure GoldenGate

使用 OCI Bastion 保護您 OCI GoldenGate 部署主控台的存取。

相關主題

概觀

OCI GoldenGate 只能使用 OCI 網路內的專用端點存取,或透過可保護 OCI 資源存取的堡壘主機存取。雖然此快速啟動範例使用 OCI 堡壘主機,但還是可以使用自己的堡壘主機。此快速入門包含兩個選項,因此您可以選擇最適合您的選項。

qs-bastion.png 的說明請見下方
qs-bastion.png 圖解描述

開始之前

您必須具有下列項目才能繼續:

  • 免費試用或付費的 Oracle Cloud Infrastructure 帳戶
  • 存取 OCI GoldenGate
  • 在專用子網路中且沒有公用端點的 OCI GoldenGate 部署
  • OCI 堡壘主機:
    • 存取服務
    • 存取 OCI Bastion 或您自己的 OCI Compute 堡壘主機
  • 針對您自己的 OCI Compute 堡壘主機:
    • 存取 OCI Compute
    • 每個可用性網域中設定的公用子網路和專用子網路

      附註:

      Oracle 建議僅為堡壘主機建立個別的公用子網路,以確保已將適當的安全清單指定給正確的主機。

選項 A:使用 OCI 堡壘主機

您可以使用 OCI 堡壘主機,或使用自己的堡壘主機。此範例使用 OCI 堡壘主機。

附註:

對於具有 FedRAMP 授權的美國政府雲端,您必須使用選項 B。這些區域目前不提供 OCI 堡壘主機服務。
  1. 建立堡壘主機。請確定您:
    1. 使用與目標 OCI GoldenGate 部署和子網路相同的 VCN。

      附註:

      子網路可以與 OCI GoldenGate 部署相同,也可以與可存取 OCI GoldenGate 子網路的子網路相同。
    2. 將用於連線至 OCI 堡壘主機的機器 IP 位址包含在 CIDR 區塊允許清單中。
  2. 建立 SSH 連接埠轉送階段作業
    1. IP 位址中,輸入 OCI GoldenGate 部署的專用 IP。您可以在部署的「詳細資訊」頁面上找到專用 IP。
    2. 連接埠中,輸入 443
    3. 新增 SSH 金鑰底下,提供要用於階段作業之 SSH 金鑰組的公開金鑰檔案。
  3. 建立階段作業之後,請從階段作業的動作 (三個點) 功能表中選取複製 SSH 命令
  4. 將命令貼到文字編輯器中,然後將 <privateKey><localPort> 預留位置取代為私密金鑰和連接埠 443 的路徑。
  5. 使用命令行介面執行命令以建立通道。
  6. 開啟 Web 瀏覽器並前往 https://localhost

附註:

  • 請確定在專用子網路的安全清單中,為堡壘主機新增傳入規則。深入瞭解
  • 如果您遇到下列錯誤訊息, 
    {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

    然後,您必須在從屬端機器主機檔案中新增一個項目,以將 127.0.0.1 對應至您的部署 FQDN。舉例而言:

    127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

選項 B:在 OCI Compute 上使用您自己的堡壘主機

  1. 在公用子網路中建立與 OCI GoldenGate 部署相同 VCN 的運算執行處理。

    附註:

    在此範例中,公用子網路 CIDR 為 10.0.0.0/24。將傳入規則新增至專用子網路安全清單時,將會使用相同的 CIDR 值。
  2. 檢查公用子網路的預設安全清單:
    1. 從 Oracle Cloud 主控台導覽功能表中,選取網路,然後選取虛擬雲端網路
    2. 從虛擬雲端網路清單中,選取您的 VCN 以檢視其詳細資訊。
    3. 在 VCN 詳細資訊頁面上,依序按一下安全< 公用子網路 > 的預設安全清單
    4. 在「預設安全清單」詳細資訊頁面上,按一下安全規則。此安全清單必須包含「SSH 存取」的規則:
      無狀態 來源 IP 協定 來源連接埠範圍 目的地連接埠範圍 類型和代碼 Allows - 允許
      編號 0.0.0.0/0 TCP 全部 22 以下連接埠的 TCP 流量: 22 SSH 遠端登入協定

      如果安全清單未包含此規則,請按一下新增傳入規則,然後使用上述值完成表單。

  3. 新增傳入規則至專用子網路安全清單,以允許從公用子網路連線至 OCI GoldenGate。
    1. 在 VCN 詳細資訊頁面上,依序按一下安全專用子網路的安全清單以檢視其詳細資訊。
    2. 在「專用子網路詳細資訊」頁面的「安全清單」中,按一下安全規則。按一下新增傳入規則
    3. 在「新增傳入規則」頁面上,依下列方式完成欄位,然後按一下新增傳入規則
      1. 對於來源類型,請選取 CIDR
      2. 來源 CIDR 中,輸入公用子網路 CIDR 值 (10.0.0.0/24)。
      3. 若為 IP 通訊協定,請選取 TCP
      4. 目的地連接埠範圍中,輸入 443
  4. (Windows 使用者) 使用 PuTTY 建立連線堡壘主機的階段作業:
    1. 在 PuTTY 階段作業組態畫面中,輸入運算執行處理的公用 IP ( 主機名稱 )。您可以將 22 保留為連接埠的值。
    2. 在「連線」類別下,展開 SSH ,按一下 Auth ,然後按一下「瀏覽」來尋找您用來建立運算執行處理的專用。
    3. 按一下「類別」面板中的通道,輸入 443 作為「來源」連接埠,輸入 <deployment-hostname>:443 作為「目的地」。
    4. (選用) 返回「梯次」種類,並儲存梯次詳細資料。
    5. 按一下開啟以連線。
  5. (Linux 使用者) 使用命令行建立連線堡壘主機的階段作業:
    ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N
  6. 連線成功後,開啟瀏覽器視窗並在網址列輸入 https://localhost。您會被導引至 OCI GoldenGate 部署主控台。

已知問題

嘗試使用 IP 存取已啟用 IAM 的部署時發生重導 URL 錯誤

嘗試使用部署的 IP 位址存取已啟用 IAM 的部署時,發生下列錯誤:

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

解決方法:您可以執行下列其中一項作業:

選項 1 :將部署 IP 位址新增至您的「識別網域應用程式」。若要進行這項變更,您必須是指派給應用程式之使用者群組的一部分。

  1. 在 Oracle Cloud 導覽功能表中,選取識別與安全性,然後在「識別」底下,按一下網域
  2. 從「網域」清單中選取您的網域。
  3. 從網域的識別網域資源功能表中,選取 Oracle Cloud Services
  4. 從 Oracle Cloud Services 清單中選取您的應用程式。例如, GGS INFRA 應用程式的部署 ID:<deployment OCID>
  5. 在應用程式頁面的 OAuth 組態底下,按一下編輯 OAuth 組態
  6. 重新導向 URL 中,輸入部署的主控台 URL 與部署的 IP,以取代網域。例如:https://<deployment-ip>/services/adminsrvr/v2/authorization
  7. 儲存所做的變更。
選項 2:在從屬端機器主機檔案中新增項目,以將 127.0.0.1 對應至您的部署 FQDN (將 <region> 取代為適當的區域)。舉例而言: 
127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com