0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@TDM26587

要塞経由のOCI GG(管理サービス)接続について

0
Posted at

はじめに

OCI GoldenGate の操作・運用では管理サービスへの接続が欠かせませんが、OCI内のプライベート・ネットワークのみで構成されている場合は要塞経由で接続する方法があります。独自の要塞を構成する事も可能ですが、ここでは OCI Bastion を経由して接続してみます。

環境と手順について

今回の環境はプライベート・ネットワークに構成された OCI GG デプロイメントの管理サービス接続ですが、予めOCI Vaultによるシークレットも作成しておきます。
簡易的な実装手順は以下です。

  1. VCN(仮想クラウドネットワーク)でプライベート・サブネットの443ポート許可
  2. OCI Vault の作成と暗号化キーの作成
  3. OCI GoldenGate デプロイメントの準備(今回は割愛) とシークレットの追加
  4. OCI Bastion の作成とセッションの準備
  5. OCI GG デプロイメント 管理サービスへの接続

出典:日本オラクル株式会社

1. VCN(仮想クラウドネットワーク)でプライベート・サブネットの443ポート許可

プライベート・サブネットのセキュリティ・リストにイングレス・ルールを追加して、パブリック・サブネットからOCI GoldenGateへの接続を許可します。VCNの詳細ページで、「セキュリティ」をクリックし、「プライベート・サブネットのセキュリティ・リスト」を選択してその詳細を表示します。
「プライベート・サブネットのセキュリティ・リスト」詳細ページで、「セキュリティ・ルール」をクリックします。「イングレス・ルールの追加」をクリックします。
「イングレス・ルールの追加」ページで、次のようにフィールドに入力します。「イングレス・ルールの追加」をクリックします:
「ソース・タイプ」で、「CIDR」を選択します。
「ソースCIDR」に、パブリック・サブネットCIDR値(10.0.0.0/24)を入力します。
「IPプロトコル」で、「TCP」を選択します。
「宛先ポート範囲」で、443と入力します。
OCI GoldenGate の管理サービスの接続はポート443を経由して行われます。

2. OCI Vault の作成と暗号化キーの作成
OCI メニューよりアイデンティティとセキュリティを選択します。

さらにキー管理とシークレット管理よりボールとを選択します。

ボールトの作成を実施します。

コンパートメント指定と名称を入力し、ボールトを作成します。

作成されたボールトの詳細画面へ

ボールトのマスター暗号化キーの作成へ

3. OCI GoldenGate デプロイメントの準備(今回は割愛) とシークレットの追加
Deploymentを作成する過程でOCI Vault にGoldenGate用のシークレットを作成します。

Q34-09.png

名前 GGADMINが OCI GG デプロイメントの管理ユーザになります。

4. OCI Bastion の作成とセッションの準備

ポート転送用のセッションを作成 (マニュアルに従う)
プライベートIPを使用したOracle Cloud Infrastructure GoldenGateへの接続
• SSHポート転送セッションを作成します。
• 「IPアドレス」に、OCI GoldenGateデプロイメントのプライベートIPを入力します。プライベートIPは、デプロイメントの「詳細」ページで確認できます。
• 「ポート」に、443と入力します。(443はVCNで予め許可する必要があります)
• 「SSHキーの追加」で、セッションに使用するSSHキー・ペアの公開鍵ファイルを指定します。

ここで SSHキーのペアを作成し、直ぐに公開鍵ファイルをロードします。
プライベートキーはダウンロードしてパスを確認します。
(既存のものを利用してもOKです)
セッションはデフォルトで3時間有効 ⇨ 3時間経過後に自動削除されます。

作成したセッションから SSH コマンドのコピーを実行
ssh -i [privateKey] -N -L [localPort]:10.0.1.241:443 -p 22 ocid1.bastionsession.xxxx(※)
(※) : 作成した要塞のセッションのアドレスが付加されます

[privateKey] をプライベートキーのフルパスに変更し、[localPort] は443を指定し、ターミナル (Windowsの場合はコマンドプロプトまたはシェルから実行し接続します。
作業中の端末からブラウザによりhttps://localhost で接続すると OCI GGの管理サービス接続ができます。

最後に

OCI GoldenGate はデータ・ソース間のレプリケーションを取り持つサービスなので、OCI内のプライベート・ネットワーク内に構成される場合も多く、管理サービスへの接続では「踏み台」経由になる事もあります。今回は、よりセキュアな環境として要塞経由の接続をしてみました。作成したセッションには初期設定では期限があり3時間で削除されますが、必要に応じて調整可能です。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?