OCI:Private Endpointを設定したAutonomous DatabaseとOracle Analytics Cloud間のData Gatewayによる接続手順

#はじめに
この記事はOracle Cloud Infrastructure(OCI)のAutonomous Data Warehouse(ADW)とOracle Analytics Cloud(OAC)の接続手順です。

ADWのネットワークには、以下2つがあります。

• Public Endpoint
  • すべてのIPアドレスから接続可能
  • Network Access Control List(NetworkACL)によって、接続元を指定することも可能(任意)
• Private Endpoint
  • 指定したVirtual Cloud Network(VCN)のみ接続可能
  • VCNのNetwork Security Group(NSG)によって、アクセス制御を行う(必須)

Public EndpointでもNetworkACLによって特定のVCNやCIDR Blockからのアクセスに限定することができるので、OACとの接続もセキュアに行うことができます。
Oracle Analytics CloudインスタンスのパブリックIPレンジとゲートウェイIP

今回は、Private Endpointを設定したADWとOACをOACのData gatewayを利用して接続してみます。

#参照情報

• Oracle Analytics Cloudでのデータの準備
  • OACのData Gatewayを利用し、ADWにアクセスする手順が記載されています。
• Graphics for Topologies and Diagrams
  • OCIの構成図を書く際のアイコン集(2020年4月30日版)です。
  • 今回はこのアイコンを利用して構成図を書いてみます。

#構成図

分析ユーザーがインターネット経由でOACにアクセスし、Private EndpointのADWのデータを分析する構成です。

構築手順は以下です。

1. ネットワークの構築
2. SSHポート転送用のOracle Linuxの構築
3. OACのData Gateway用のWindowsの構築
4. 分析対象のデータを格納するADWの構築
5. OACの構築及びData Gateway経由でADWに接続設定

#1.ネットワークの構築

ネットワークはVCNウィザードを使って構築します。

コンソールのネットワーキングから「VCNウィザードの起動」をクリックすると以下の画面が表示されます。

インターネット接続性をもつVCNを選択し、「VCNウィザードの起動」をクリックします。
VCN名とVCNを構築するコンパートメントを設定し、そのほかの値はデフォルトのまま、次をクリックすると確認画面に遷移します。

上記設定で作成後、2つ追加設定をします。
1つ目はWindows ServerへRDP接続するためにプライベートサブネットのセキュリティリストにイングレスルールを追加します。

プライベートサブネットのセキュリティリストのイングレスルールです。

2つ目はにADWで利用するNSGを作成します。
NSG名とイングレス・エグレスルールを設定します。

イングレス

エグレス

ADWとOACは、後ほど作成するData Gateway用のWindows Server経由で接続するためプライベートサブネット内の1522の通信のみ許可しています。

#2.SSHポート転送用のOracle Linuxの構築
プライベートサブネットにWindows Serverを配備して、Data Gatewayを設定するため、SSH転送用のOracle Linux7.8を構築します。
コンソールのコンピュートにて、インスタンスを作成します。
パブリックサブネットに配置し、パブリックIPアドレスを割り当ててください。

#3.OACのData Gateway用のWindowsの構築
OACのData Gateway用のWindows Serverを構築します。
プライベートサブネットに配置してください。

配備後、Windows Serverにログインしてみます。
2.で作成したOracle Linuxにtertermで接続します。
接続後、SSHポート転送の設定を開きます。

• ローカルのポート：任意のポート番号(例：13389)
• リモート側ホスト：Windows ServerのプライベートIPアドレス
• ポート：3389

設定できたらこのようになります。

teratermは接続した状態でそのままにし、Windows ServerにRDP接続します。

接続すると、パスワードの入力を求められるので、コンソール上で取得できるパスワードを入力します。
インスタンスの詳細に初期パスワード情報があります。

プライベートサブネットに配備したので、パブリックIPアドレス情報はありません。
初期パスワードを表示し、パスワードを入力します。
パスワード入力時は右下のキーボード設定がJapaneseになっていることを確認してください。

初回ログイン時は、パスワードの変更を求められますので、任意のパスワードに変更します。

ログイン後、Internet Explorer(IE)にて、Oracle Data Gatewayダウンロードにアクセスします。
※IEから信頼済みサイト以外にアクセスするには、アクセスしたいサイトを信頼済みサイトに登録する必要がありますが、今回は、「IEセキュリティ強化の構造が有効になっています」を無効化します。無効化は、Server ManagerのLocal Serverにて、IE Enhanced security ConfigurationをOnからOffに変更します。
※プライベートサブネット上のWindows ServerはNAT Gateway経由でアクセスします。作成したネットワーク構成では何もせずにアクセスできます。

Windows版をダウンロードします。

zipファイルをダウンロード後、展開し、datagatewayを実行します。

実行すると、「WindowsによってPCが保護されました」がでますが、「More info」をクリックします。

Run anywayをクリックすると、Data Gatewayの画面が表示されます。

ここまでで、Windowsの構築は終わりです。

#4.分析対象のデータを格納するADWの構築
コンソール上でADWを構築します。
ADWは、Always Free枠は利用しないでください。
Always Freeの場合、ネットワーク・アクセスの選択で、仮想クラウド・ネットワークを選択できません。

仮想クラウドネットワークを選択すると、サブネットとNSGを選択できるので、プライベートサブネットとあらかじめ作成しておいたNSGを選択します。

作成したADWの詳細のネットワーク部分です。

DB接続より、インスタンス・ウォレットをダウンロードします。
このとき、ADW作成時に設定したパスワードを入力します。

ADWは、プライベートサブネットに配備したWindows ServerにSQL Developerなどからアクセス可能です。
Autonomous Database ハンズオンラボ（ADB HOL）を参照してください。

#5.OACの構築及びData Gateway経由でADWに接続設定
コンソールからOACのインスタンスを作成します。
インスタンス名とエディション、OCPU数を設定します。

インスタンスの状態がActiveになったら、インスタンス詳細画面の「URLを開く」をクリックします。

OACのHome画面が表示されますので、インターネットブラウザのURLの「https://oac-XXXXXXXXXXXXX.oraclecloud.com/」をコピーします。
※ui/dv/?pageid=homeは不要です。

つぎに2.で構築したWindows Serverにアクセスし、Data Gatewayの設定をします。
Data GatewayのURLにOACのURLを入力します。
入力後、「Generate Key」をクリックします。

Key Successfully generatedとなり、id,oybkucjey,hostnameが表示されたら「Copy to Clipboard」をクリックします。
※この時点で、TestをクリックしてもOAC側の設定がまだのため、Authentication failed withi error.401エラーとなります。

OACのHome画面でコピーしたKey情報を設定します。
左上のハンバーガーボタンをクリックし、Console⇒Remote Data connectivity画面を開きます。

Data Gatewayの「Add」をクリックし、Public KeyにコピーしたKey情報を貼り付け、OKをクリックします。

※スクショはデータを消しているので何もないように見えますが、Name,ID,HostもPublic Keyをはりつけると自動で入力されます。

Enable Data Gatewayを有効化します。

有効化した後、再度Windows Serverにアクセスし、Data Gatewayにて、Testをクリックします。
Successfully AuthenticatedとなればOKです。
Saveし、Enableにしてください。

OACのHome画面の右上にある「Create」から接続設定を行います。

Connectionを選択し、「Oaracle Autonomous Data warehouse」をクリックします、

Create Connection画面にて以下の設定を行います。

• Connection Name：任意
• Service Name：Client Credentialsにて、ADWのインスタンス・ウォレットを設定するとDB名_high,low,mediumの選択ができます。
• Client Credentials：ADWのインスタンス・ウォレット(zip)を選択します。
• Username：ADWのユーザー名です。デフォルトはadminです。
• Password：adminの場合は、ADW作成時にコンソールで設定したパスワードです。
• Use Remote Data Connectivity:チェック入れます。

Saveをクリックし、SuccessfullyとなればOKです。
Data画面のConnectionsに表示されます。

作成したConnectionをクリックするとAdd Data Setの画面が表示されます。

Private Endpointを設定したADWとOAC間のData Gatewayによる接続手順でした。