オンプレミス側のInternet経由せずOCIコンソールに接続するために、オンプレミスと Oracle Cloud Infrastructure (OCI) を FastConnect接続して VCN へ 配置した DNS とProxy 経由で OCIコンソール へ アクセスしてみてみます。
インターネット・アクセスを制限するために コンソールのみへのアクセスを許可するには、プロキシ・サーバーの許可リストに次のドキュメントに記載ある URL を追加します。
・参考: ネットワークからのコンソールへのアクセスの許可
*.oracle.com
*.oraclecloud.com
*.oracleinfinity.io
oracle.112.2o7.net
consent.trustarc.com (Console cookie preferences)
また、次の機能を使用することでOCIコンソール接続をよりセキュアにすることができます。
・ネットワーク・ソース制限: Whitelist IPのみ接続制限
・マルチファクタ認証(MFA): ワンタイム・パスワード(TOTP), 登録済モバイル・デバイス認証などの多要素認証
・Authenticator APP: Oracle Mobile Authenticatorや Google Authenticatorをモバイルにインストールしてセキュア・トークン認証
・参考: IPアドレス制限と多要素認証でコンソール・アクセス制御してみてみた
■ 構成
■ 手順
● 構成作成
前回作成した内容を使用して構成します。
・ 参考
- Cloudに配置したProxy経由でオンプレミスからInternet接続してみてみた
- Firewallの Whitelist登録でWebコンソール接続できるようにしてみてみた
● 設定確認
・On-PremisesとVCN Subnet間 Route Roule追加
オンプレミスと VCN Subnetが DRG通るように Route Roule追加
■ OCIコンソール接続設定
● Proxy接続設定
Mac Bookへ OCIの DNSと Proxyサーバーを設定
● Proxy Server接続確認
[mac-book: ~]# ping 10.0.0.2 -c 3
PING 10.0.0.2 (10.0.0.2): 56 data bytes
64 bytes from 10.0.0.2: icmp_seq=0 ttl=62 time=8.027 ms
64 bytes from 10.0.0.2: icmp_seq=1 ttl=62 time=60.485 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=62 time=8.567 ms
--- 10.0.0.2 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 8.027/25.693/60.485/24.603 ms
● OCI Private DNS接続確認
1) nslookup確認
Serverが Proxy Serverアドレスでgoogle.comなどへ名前解決できることを確認
[mac-book: ~]# nslookup google.com
Server: 10.0.1.254
Address: 10.0.1.254#53
Non-authoritative answer:
Name: google.com
Address: 216.58.197.174
■ OCIコンソール Proxy接続確認
● oracle.com 以外接続不可能確認
Safariブラウザで、google.com などへ接続できず、"プロキシサーバーに接続できません" と表示されることを確認
● コンソール接続
OCIコンソールの URLは、次となります
http://console.{Home_Region_Identifier}.oraclecloud.com
Home Region が Tokyoリージョンの場合は、次となります
https://console.ap-tokyo-1.oraclecloud.com/
各リージョンの region_identifier(リージョン識別子)は次を参考に設定
・参考:リージョン識別子(region_identifier)
1) コンソール接続
https://console.ap-tokyo-1.oraclecloud.com/ へブラウザアクセス
2) Cloud Tenant画面
Tenantを設定し、[Continue]をクリック
3) Sign In 画面
User Name , Passwordを入力し、[Sign In]をクリック
■ 参考
・OCI Documents: ネットワークからのコンソールへのアクセスの許可
・FastConnectパブリック・ピアリングの通知ルート
・ネットワーク・ソース制限
・MULTI-FACTOR AUTHENTICATION (MFA)
・AUTHENTICATOR APP
・Cloudに配置したProxy経由でオンプレミスからInternet接続してみてみた
・Oracle Cloud: Firewallの Whitelist登録でWebコンソール接続できるようにしてみてみた
・Oracle Cloud : コマンド・ライン・インタフェース(CLI) をインストールしてみた