使用專用 IP 連線至 Oracle Cloud Infrastructure GoldenGate

瞭解如何建立、設定及使用 OCI 堡壘主機，以保護對 OCI GoldenGate 部署主控台的存取。

概觀

OCI GoldenGate 只能使用 OCI 網路內的專用端點存取，或是透過保護 OCI 資源存取的堡壘主機存取。此快速啟動範例使用 OCI 堡壘主機，您還是可以使用自己的堡壘主機。此快速入門包含兩個選項，因此您可以選取最適合您的選項。

qs-bastion.png 圖解描述

開始之前

您必須具有下列項目才能繼續：

• 免費試用或付費的 Oracle Cloud Infrastructure 帳戶

• 存取 OCI GoldenGate

• 專用子網路和沒有公用端點的 OCI GoldenGate 部署

• OCI 堡壘主機：

  • 存取服務

  • 存取 OCI Bastion 或您自己的 OCI Compute 堡壘主機

• 針對您自己的 OCI Compute 堡壘主機：

  • 存取 OCI Compute

  • 每個可用性網域中設定的公用子網路和專用子網路

    注意：Oracle 建議您僅為堡壘主機建立個別的公用子網路，以確保將適當的安全清單指定給正確的主機。

選項 A：使用 OCI 堡壘主機

您可以使用 OCI 堡壘主機，或使用自己的堡壘主機。此範例使用 OCI 堡壘主機。

1. 建立堡壘主機。確保您：

   1. 使用與目標 OCI GoldenGate 部署和子網路相同的 VCN。

      注意：子網路可以與 OCI GoldenGate 部署相同，也可以與可存取 OCI GoldenGate 子網路的子網路相同。

   2. 在 CIDR 區塊允許清單中包含用於連線至 OCI 堡壘主機的系統 IP 位址。

2. 建立 SSH 連接埠轉送階段作業。

   1. 若為 IP 位址，請輸入 OCI GoldenGate 部署的專用 IP。您可以在部署的「詳細資訊」頁面上找到專用 IP。

   2. 在連接埠中，輸入 443。

   3. 在新增 SSH 金鑰底下，提供要用於階段作業之 SSH 金鑰組的公開金鑰檔案。

3. 建立階段作業之後，請從階段作業的動作 (三個點) 功能表中選取複製 SSH 命令。

4. 將命令貼到文字編輯器中，然後將 <privateKey> 和 <localPort> 預留位置取代為私密金鑰和連接埠 443 的路徑。

5. 使用命令行介面執行命令以建立通道。

6. 開啟 Web 瀏覽器並前往 https://localhost。

   注意：

   • 請確定在專用子網路的安全清單中，為堡壘主機新增傳入規則。深入瞭解。

   • 如果您遇到下列錯誤訊息，

     {"error":"invalid_redirect_uri","error_description":"Client xxdeploymentgoldengateusphoenix1ocioraclecloudcom_APPID requested an invalid redirect URL: https://localhost/services/adminsrvr/v2/authorization. ECID: cvSDu0r7B20000000"}

     然後，您必須在從屬端主機檔案中新增一個項目，以將 127.0.0.1 對應至您的部署 FQDN。舉例而言：

     127.0.0.1 xx.deployment.goldengate.us-phoenix-1.oci.oraclecloud.com

選項 B：在 OCI Compute 上使用您自己的堡壘主機

1. 在與 OCI GoldenGate 部署相同 VCN 的公用子網路中建立運算執行處理。

   注意：在此範例中，公用子網路 CIDR 為 10.0.0.0/24。將傳入規則新增至專用子網路安全清單時，將會使用相同的 CIDR 值。

2. 檢查公用子網路的預設安全清單：

   1. 從 Oracle Cloud 主控台導覽功能表中，選取網路，然後選取虛擬雲端網路。

   2. 從虛擬雲端網路清單中，選取您的 VCN 以檢視其詳細資訊。

   3. 在 VCN 詳細資訊頁面上，選取安全，然後選取 < 公用子網路 > 的預設安全清單。

   4. 在「預設安全清單」詳細資訊頁面上，選取安全規則。此安全清單必須包含「SSH 存取」規則：

      無狀態	來源	IP 協定	來源連接埠範圍	目的地連接埠範圍	類型和代碼	Allows - 允許
      編號	0.0.0.0/0	TCP	全部	22	無	以下連接埠的 TCP 流量: 22 SSH 遠端登入協定

      如果安全清單未包括此規則，請選取新增傳入規則，然後使用上述值完成表單。

3. 新增傳入規則至專用子網路安全清單，以允許從公用子網路連線至 OCI GoldenGate。

   1. 在 VCN 詳細資訊頁面上，選取安全，然後選取專用子網路的安全清單以檢視其詳細資訊。

   2. 在「專用子網路安全清單」詳細資訊頁面上，選取安全規則。選取新增傳入規則。

   3. 在「新增傳入規則」頁面上，依下列方式完成欄位，然後選取新增傳入規則：

      1. 針對來源類型，選取 CIDR 。

      2. 在來源 CIDR 中，輸入公用子網路 CIDR 值 (10.0.0.0/24)。

      3. 若為 IP 協定，請選取 TCP 。

      4. 在目的地連接埠範圍中，輸入 443。

4. (Windows 使用者) 建立使用 PuTTY 連線至堡壘主機的階段作業：

   1. 在「PuTTY 階段作業」組態畫面中，輸入主機名稱的運算執行處理公用 IP。您可以將 22 保留為連接埠的值。

   2. 在「連線」類別下，展開 SSH ，選取 Auth ，然後選取「瀏覽」來尋找您用來建立運算執行處理的專用。

   3. 在「類別」面板中選取通道，輸入 443 作為「來源」連接埠，輸入 <deployment-hostname>:443 作為「目的地」。

   4. (選用) 返回「梯次」種類，並儲存梯次詳細資料。

   5. 選取開啟以連線。

5. (Linux 使用者) 使用命令行建立連線堡壘主機的階段作業：

   ssh -i <private-ssh-key> opc@<compute-public-ip> -L 443:<deployment-hostname>:443 -N

6. 成功連線後，開啟瀏覽器視窗並在網址列輸入 https://localhost。您會被導引至 OCI GoldenGate 部署主控台。

已知問題

嘗試使用 IP 存取已啟用 IAM 的部署時發生重導 URL 錯誤

嘗試使用部署的 IP 位址存取已啟用 IAM 的部署時，發生下列錯誤：

{"error":"invalid_redirect_uri","error_description":"Client
        xxxxxxxx1ocioraclecloudcom_APPID requested an invalid redirect URL: https://192.x.x.x/services/adminsrvr/v2/authorization. ECID:
        xxxx"}

解決方法：您可以執行下列其中一項作業：

選項 1 ：將部署 IP 位址新增至您的「識別網域應用程式」。若要進行這項變更，您必須是指派給應用程式之使用者群組的一部分。

1. 在 Oracle Cloud 導覽功能表中，選取識別與安全性，然後在「識別」底下，選取網域。

2. 從「網域」清單中選取您的網域。

3. 從網域的識別網域資源功能表中，選取 Oracle Cloud Services 。

4. 從 Oracle Cloud Services 清單中選取您的應用程式。例如，部署 ID：< 部署 OCID> 的 GGS INFRA 應用程式。

5. 在應用程式頁面的 OAuth 組態底下，選取編輯 OAuth 組態。

6. 在重新導向 URL 中，輸入部署的主控台 URL 與部署的 IP，以取代網域。例如：https://<deployment-ip>/services/adminsrvr/v2/authorization。

7. 儲存所做的變更。

選項 2：在從屬端主機檔案中新增項目，以將 127.0.0.1 對應至您的部署 FQDN (將 <region> 取代為適當的區域)。舉例而言：

127.0.0.1 xx.deployment.goldengate.<region>.oci.oraclecloud.com