#はじめに
OCI Bastionサービスを使って、プライベートサブネットにあるDBCSインスタンスへ接続してみた。
事前準備
-
OCI チュートリアルを参考に
-
VCN/Public Subnet,Private Subnet/Service Gateway/ルート表/Security Listのネットワークリソースを作成
- Service Gatewayのサービス:「All Services in Oracle Services Network」
- ルート表:作成したService Gatewayへのルート・ルール
-
Seculity List:ソースPublic Subnet CIDR、宛先 TCP:1521ポートのイグレスルール
-
Seculity List:ソースPublic Subnet CIDR、宛先 TCP:22ポートのイグレスルール
-
Private SubnectにDBCSインスタンスを作成
-
-
IAMポリシーの作成
- Bastionサービスを使用するために必要な権限
- Bastion、セッション、ネットワークの管理
- ComputeインスタンスのRead
- Computeインスタンス エージェント プラグインのRead
- Work-Requestのinspect
ポリシーの例
Allow group SecurityAdmins to manage bastion in tenancy
Allow group SecurityAdmins to manage bastion-session in tenancy
Allow group SecurityAdmins to manage virtual-network-family in tenancy
Allow group SecurityAdmins to read instance-family in tenancy
Allow group SecurityAdmins to read instance-agent-plugins in tenancy
Allow group SecurityAdmins to inspect work-requests in tenancy
Bastionの作成
Identity & Security > Bastion から Bastion(要塞)の作成をクリック
名前、配置VCN・Public Subnet、CIDRブロック許可リスト(アクセス元)を入力
SSHポート転送セッションの作成
作成したBastionにセッションを作成
- セッション・タイプ:SSHポート転送セッション
- セッション名:名前
- 次を使用してターゲット・ホストに接続します:IPアドレス
- IPアドレス:接続対象インスタンスのPrivate IPアドレス
- ポート:1521
- SSHキーの追加:SSH公開キーの入力
SSHポート転送SSHセッションを使用
接続対象のセッションのメニューから「SSHコマンドのコピー」を選択
テキスト エディタを使用して、セッションの作成時に指定した SSH キー ペアの秘密キーへのパスでを置換、を置換
更新前例
ssh -i <privateKey> -N -L <localPort>:172.168.0.2:1521 -p 22 ocid1.bastionsession.oc1.ap-tokyo-1.aaaaaa@host.bastion.ap-tokyo-1.oci.oraclecloud.com
更新前後
ssh -i id_rsa -N -L 1521:172.168.0.2:1521 -p 22 ocid1.bastionsession.oc1.ap-tokyo-1.aaaaaa@host.bastion.ap-tokyo-1.oci.oraclecloud.com
コマンド ラインを使用して、カスタマイズされた SSH コマンドを発行
> ssh -i id_rsa -N -L 1521:172.168.0.2:1521 -p 22 ocid1.bastionsession.oc1.ap-tokyo-1.aaaaaa@host.bastion.ap-tokyo-1.oci.oraclecloud.com
OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2
debug1: Connecting to host.bastion.uk-london-1.oci.oraclecloud.com [147.154.235.XXX] port 22.
debug1: Connection established.
<略>
debug1: pledge: network
ターミナルを閉じないでください。
詳細出力 ( -v)を有効にした場合、接続が成功した後の最終メッセージは次のとおりです。
debug1: pledge: network
DBCSインスタンスにSQL Developer接続
ホスト名:localhost
ポート:1521
で接続を作成
おわりに
OCI Bastionサービスを使ってプライベートサブネットのDBCSにアクセスできました。