■ 目的
マニュアルにProxy経由でOracle Databaseにアクセスする手順があるので、
オンプレミスから、Autonomous DatabaseにSquidのProxy Server経由でアクセスしてみてみます。
また、Access Control List(ACL)の機能でVCN内からのアクセスのみ有効にして、Internetからのアクセスを遮断します。
■ 構成概要
Terraformなど使用してちょろんと作成します
本手順は、Proxy Serverの設定から説明します
■ Proxy Server構築
以前の記事で構築した手順と同じです。
参考:Oracle Cloud:オンプレミスからVPN経由でObject Storageにアクセスさせてみてみた
ここでは、上記記事のProxy Serverの設定にAutonomous DatabaseのSSL 1522ポートを追加します。
● squid追加設定
/etc/squid/squid.confファイルの "acl SSL_ports port" の設定に Atutonomous Databaseの1522ポートを追加します。
1) 修正前
[root@proxy-inst01 ~]# cat /etc/squid/squid.conf | grep SSL_ports
acl SSL_ports port 443
acl SSL_ports port 22 # ssh
http_access deny CONNECT !SSL_ports
2) 修正後
[root@proxy-inst01 ~]# cat /etc/squid/squid.conf | grep SSL_ports
acl SSL_ports port 443
acl SSL_ports port 22 # ssh
acl SSL_ports port 1522 # Autonomous Database
http_access deny CONNECT !SSL_ports
● Squid再起動
[root@proxy-inst01 ~]# systemctl restart squid
[root@proxy-inst01 ~]# systemctl status squid.service
● squid.service - Squid caching proxy
Loaded: loaded (/usr/lib/systemd/system/squid.service; enabled; vendor preset: disabled)
Active: active (running) since 土 2019-03-16 11:10:05 GMT; 11s ago
Process: 32392 ExecStop=/usr/sbin/squid -k shutdown -f $SQUID_CONF (code=exited, status=0/SUCCESS)
Process: 32403 ExecStart=/usr/sbin/squid $SQUID_OPTS -f $SQUID_CONF (code=exited, status=0/SUCCESS)
Process: 32397 ExecStartPre=/usr/libexec/squid/cache_swap.sh (code=exited, status=0/SUCCESS)
Main PID: 32405 (squid)
CGroup: /system.slice/squid.service
├─32405 /usr/sbin/squid -f /etc/squid/squid.conf
├─32407 (squid-1) -f /etc/squid/squid.conf
└─32408 (logfile-daemon) /var/log/squid/access.log
3月 16 11:10:05 squid-proxy systemd[1]: Starting Squid caching proxy...
3月 16 11:10:05 squid-proxy squid[32405]: Squid Parent: will start 1 kids
3月 16 11:10:05 squid-proxy squid[32405]: Squid Parent: (squid-1) process 32407 started
3月 16 11:10:05 squid-proxy systemd[1]: Started Squid caching proxy.
■ Autonomous Database構築
以前の記事で構築した手順と同じですので省略します。
参考:Oracle Cloud:Autonomous DatabaseにSQLcl接続してみてみた
■ Oracle Client設定
On-Premisesに構築したOracle Databaseのsqlnet.oraとtnsnames.oraを設定します
● クライアント資格証明(Oracle Wallet)のダウンロード
Autonomous DatabaseのWALLET資格証明を元にtnsnames.oraを設定します。
1) 作成したADWのページに移動し、「DB Connection」をクリック
2)「Database Connection」画面で、「Download」をクリックし、WALLETの資格証明(Wallet_〜.zip)をダウンロード
3) ダウンロードしたWallet_〜.zipファイルをOracle Client(db-inst01)に転送
4) WALLET_LOCATION作成とWALLET資格証明を配置
今回は、/home/oracle/atpc_credentials をWALLETディレクトリとして配置します
[oracle@db-inst01 ~]$ mkdir /home/oracle/atpc_credentials
[oracle@db-inst01 ~]$ mv Wallet_ATP001.zip /home/oracle/atpc_credentials
[oracle@db-inst01 ~]$ unzip Wallet_ATP001.zip
Archive: Wallet_ATP001.zip
inflating: cwallet.sso
inflating: tnsnames.ora
inflating: truststore.jks
inflating: ojdbc.properties
inflating: sqlnet.ora
inflating: ewallet.p12
inflating: keystore.jks
● tnsnames.ora設定
1) WALLET資格証明のtnsnames.ora確認
今回は、DownloadしたWALLET資格証明(Wallet_〜.zip)内のtnsnames.oraにある
atp001_highを元にtnsnames.oraを設定します。
[oracle@db-inst01 ~]$ cat tnsnames.ora
・・・
atp001_high = (description= (address=(protocol=tcps)(port=1522)(host=atpc.example.oraclecloud.com))(connect_data=(service_name=atpc1_high.atpc.oraclecloud.com))(security=(ssl_server_cert_dn=
"CN=atpc.example.oraclecloud.com,OU=Oracle BMCS US,O=Oracle Corporation,L=Redwood City,ST=California,C=US")) )
・・・
2) tnsnames.ora設定
上記で確認したatp001_high接続記述子から、そのままコピーしたproxy経由しない接続と、
proxyを経由する接続を設定します。
proxyを経由する接続には、address句に次の2つを追加します。
(https_proxy=<プロキシサーバーIPアドレス:10.0.0.11>)
(https_proxy_port=<プロキシサーバーPort番号:3128>)
[oracle@db-inst01 ~]$ cat $ORACLE_HOME/network/admin/tnsnames.ora
#Non-Proxy Connection
atp001_high= (description= (address=(protocol=tcps)(port=1522)(host=atpc.example.oraclecloud.com))(connect_data=(service_name=atpc1_high.atpc.oraclecloud.com))(security=(ssl_server_cert_dn=
"CN=atpc.example.oraclecloud.com,OU=Oracle BMCS US,O=Oracle Corporation,L=Redwood City,ST=California,C=US")) )
#Proxy Connection
atp001_high_proxy= (description= (address=(https_proxy=10.0.0.11)(https_proxy_port=3128)(protocol=tcps)(port=1522)(host=atpc.example.oraclecloud.com))(connect_data=(service_name=atpc1_high.atpc.oraclecloud.com))(security=(ssl_server_cert_dn=
"CN=atpc.example.oraclecloud.com,OU=Oracle BMCS US,O=Oracle Corporation,L=Redwood City,ST=California,C=US")) )
● sqlnet.ora設定
sqlnet.oraにWALLETディレクトリとProxy設定のSSL_SERVER_DN_MATCHとSQLNET.USE_HTTPS_PROXYを追加します
[oracle@db-inst01 ~]$ vi $ORACLE_HOME/network/admin/sqlnet.ora
#WALLET_LOCATION = (SOURCE = (METHOD = file) (METHOD_DATA = (DIRECTORY="?/network/admin")))
WALLET_LOCATION = (SOURCE = (METHOD = file) (METHOD_DATA = (DIRECTORY="/home/oracle/app/oracle/product/19.0.0/network/admin")))
SSL_SERVER_DN_MATCH=yes
SQLNET.USE_HTTPS_PROXY=on
■ 接続テスト前確認
Autonomous DatabaseなどのPublic Serviceへのアクセスには、Global DNSを参照してIPアドレスを引き当てて接続します。
そのため、次のことを事前に確認します。
①DNSアクセス可能確認
②Autonomous非疎通確認
今回は、Autonomous Transaction Processing(ATP)ですのでtnsnames.oraから、ATPのホスト名を取得し、そのホスト名を使用して確認します。
・今回のATPのホスト名:atpc.example.oraclecloud.com
● DNSアクセス可能確認
nslookupでATPのホスト名でIPアドレスを引き当てれることを確認
[oracle@db-inst01 ~]$ nslookup atpc.example.oraclecloud.com
Server: 172.24.10.254
Address: 172.24.10.254#53
Non-authoritative answer:
adb.us-ashburn-1.oraclecloud.com canonical name = atpc.example.oraclecloud.com.
Name: atpc.example.oraclecloud.com
Address: 200.200.200.201
Name: atpc.example.oraclecloud.com
Address: 200.200.200.202
Name: atpc.example.oraclecloud.com
Address: 200.200.200.203
● Autonomousホスト名/IPアドレス非疎通確認
Autonomousホスト名/IPアドレスに直接接続できないことを確認
[oracle@db-inst01 ~]$ ping atpc.example.oraclecloud.com -w 10
PING atpc.example.oraclecloud.com (200.200.200.201) 56(84) bytes of data.
--- atpc.example.oraclecloud.com ping statistics ---
10 packets transmitted, 0 received, 100% packet loss, time 9195ms
■ 接続テスト
本環境のOn-Permises側Networkは、Proxyを経由しないとInternetに接続でないため、Proxy有無で接続ができるか確認します。
● Non-Proxy接続テスト
Proxyを経由しないと接続できないことを確認
1) tnsping非疎通確認
[oracle@db-inst01 ~]$ tnsping atp001_high
TNS Ping Utility for Linux: Version 19.0.0.0.0 - Production on 16-MAR-2019 11:59:37
Copyright (c) 1997, 2018, Oracle. All rights reserved.
Used parameter files:
/home/oracle/app/oracle/product/19.0.0/network/admin/sqlnet.ora
Used TNSNAMES adapter to resolve the alias
Attempting to contact (description= (address=(protocol=tcps)(port=1522)(host=atpc.example.oraclecloud.com))(connect_data=(service_name=atpc1_high.atpc.oraclecloud.com))(security=(ssl_server_cert_dn= CN=atpc.example.oraclecloud.com,OU=Oracle BMCS US,O=Oracle Corporation,L=Redwood City,ST=California,C=US)))
TNS-12545: Connect failed because target host or object does not exist
2) sqlplus非接続確認
[oracle@db-inst01 ~]$ sqlplus admin/pass@atp001_high
SQL*Plus: Release 19.0.0.0.0 - Production on Sat Mar 16 12:04:25 2019
Version 19.2.0.0.0
Copyright (c) 1982, 2018, Oracle. All rights reserved.
ERROR:
ORA-12170: TNS:Connect timeout occurred
● Proxy接続テスト
Proxyを経由で接続できることを確認
1) tnsping疎通確認
[oracle@db-inst01 ~]$ tnsping atp001_high_proxy
TNS Ping Utility for Linux: Version 19.0.0.0.0 - Production on 16-MAR-2019 12:00:11
Copyright (c) 1997, 2018, Oracle. All rights reserved.
Used parameter files:
/home/oracle/app/oracle/product/19.0.0/network/admin/sqlnet.ora
Used TNSNAMES adapter to resolve the alias
Attempting to contact (description= (address=(https_proxy=10.0.0.11)(https_proxy_port=3128)(protocol=tcps)(port=1522)(host=atpc.example.oraclecloud.com))(connect_data=(service_name=atpc1_high.atpc.oraclecloud.com))(security=(ssl_server_cert_dn= CN=atpc.example.oraclecloud.com,OU=Oracle BMCS US,O=Oracle Corporation,L=Redwood City,ST=California,C=US)))
OK (30 msec)
2) sqlplus接続確認
[oracle@db-inst01 ~]$ sqlplus admin/pass@atp001_high_proxy
SQL*Plus: Release 19.0.0.0.0 - Production on Sat Mar 16 12:04:25 2019
Version 19.2.0.0.0
Copyright (c) 1982, 2018, Oracle. All rights reserved.
Last Successful login time: Sat Mar 16 2019 11:27:41 +00:00
Connected to:
Oracle Database 18c Enterprise Edition Release 18.0.0.0.0 - Production
Version 18.4.0.0.0
SQL> select NAME from v$pdbs;
NAME
--------------------------------------------------------------------------------
TEST_ATP001
● proxyサーバーアクセスLOG確認
proxyサーバーのaccess.logを確認して、sqlplusでアクセスしたインスタンスのIPアドレス(172.24.10.10)からAutonomous DatabaseのPublic IPアドレス(200.200.200.201)へアクセスしていることを確認
[root@proxy-inst01 ~]# tail -f /var/log/squid/access.log
・・・
1552735529.372 12893 172.24.10.10 TCP_TUNNEL/200 11038 CONNECT atpc.example.oraclecloud.com:1522 - HIER_DIRECT/200.200.200.201 -
■ Access Control List(ACL)設定
● 設定
1) ATP画面にある[Action]から[Access Control List]をクリック
②Service Gatwayアクセスのみアクセス可能に設定
Service GatwayのCIDRは240.0.0.0/4になり、以下のように設定
IP NOTATION TYPE : CIDR Block
CIDR BLOCKS:240.0.0.0/4
● ACLテスト
1) VCN外アクセス不可能確認
Internet経由でアクセスできないことを確認
[oracle@client01 ~]$ sqlplus admin/pass@atp001_high
SQL*Plus: Release 19.0.0.0.0 - Production on Sat May 4 15:08:19 2019
Version 19.3.0.0.0
Copyright (c) 1982, 2019, Oracle. All rights reserved.
ERROR:
ORA-12506: TNS:listener rejected connection based on service ACL filtering
2) オンプレミスからProxy経由アクセス可能確認
本構成のオンプレミスからProxy経由でアクセスできる事確認
[oracle@db-inst01 ~]$ sqlplus admin/pass@atp001_high_proxy
SQL*Plus: Release 19.0.0.0.0 - Production on Sat May 4 15:25:23 2019
Version 19.3.0.0.0
Copyright (c) 1982, 2019, Oracle. All rights reserved.
Last Successful login time: Sat May 04 2019 15:04:22 +00:00
Connected to:
Oracle Database 18c Enterprise Edition Release 18.0.0.0.0 - Production
Version 18.4.0.0.0
SQL>
■ 参考
● マニュアル
・Connections with an HTTP Proxy
・HTTPプロキシを使用したJDBC Thin接続
・To manage the access control list of an Autonomous Database