OCI Bastionサービスを利用してプライベートリソースに安全に接続する方法(無料) (2021/06/01)

OCI Bastionサービスを利用してプライベートリソースに安全に接続する方法(無料) (2021/06/01)

https://blogs.oracle.com/developers/how-to-securely-connect-to-private-resources-for-free-via-the-oci-bastion-service

投稿者:Todd Sharp



クラウド環境では、サーバーやサービスがパブリックインターネットに接続されていないことがよくあります。プライベート仮想クラウドネットワーク(VCN)は、インターネットへのアクセスを必要としないリソースのために存在しますが、トラブルシューティングや一時的な作業のために一時的なアクセスが必要な場合には、課題となります。Oracle Cloud Infrastructure(OCI)のMySQLクラウドサービスは、プライベートネットワーク経由でのみアクセス可能なサービスの一例です。このサービスは完全に管理されているため、お客様のデータを潜在的な攻撃や脆弱性から保護するために、インターネットから隔離された状態になっています。リソースへのアクセスを可能な限り制限するのは良いことですが、いずれはそれらのリソースに接続したいと思うこともあるでしょう。そこで登場するのが、Bastionホストです。Bastionホストは、プライベートリソースと、プライベートネットワークへのアクセスを必要とするエンドポイントとの間に位置するリソースで、SSHやRDPなどのプロトコルでプライベートリソースにログインするための「ジャンプボックス」の役割を果たします。


歴史の授業


皆さんは、「Bastion」という言葉がどこから来たのか気になるでしょう。中世の城では、見張りや防御のために塔が使われていました。塔の高さは大砲の攻撃を受けやすいため、16世紀半ばに塔に代わるものとしてBastionが考案されました。Bastionは、城壁と同じ高さでありながら、外側に向かって角張った形をしており、侵入してくる脅威や攻撃に対して、視界を確保して防御することができます。言い換えれば、Bastionは、城壁内の貴重な資産を守ることだけを目的として建てられた、城のわずかに脆弱な延長部分だったのです。これで、ネットワークのファイアウォールの外側の、露出しているが重要な位置に置かれているサーバーが、なぜ「Bastion」と呼ばれるのかがわかりましたね。



 ヒント! Bastionホストを使ってOCI MySQLクラウドサービスに接続する例は、『Complete Guide to Getting Started with MySQL DB in the Oracle Cloud』で紹介しています。


なぜBastionなのか?


では、クラウド契約でBastionホストを使用することのデメリットは何でしょうか。というと、特にありません。Bastionは賢い選択であり、クラウドでは常にセキュリティを最優先すべきです。最近まで、OCIで Bastion hostを利用するには、手動で専用のコンピュートインスタンスを立ち上げ、設定し、管理し、料金を支払う必要がありました。手動で管理しているため、不適切な設定や事故によってセキュリティホールが発生する可能性もわずかながらあります。もし、OCIのプライベートネットワークに、シンプルな(そして無料の)マネージドサービスを使って、基盤機能を提供できたらどうでしょうか?それを可能にするのがOCI Bastion Serviceです。ここでは、このサービスを利用して、OCI テナントのプライベートネットワークに接続するための設定と利用方法を説明します。この記事では、MySQLクラウドサービスインスタンスへの接続を見ていきますが、このサービスはテナント内のあらゆるプライベートリソースに対応しています。


ここでは、Bastionサービスを利用して、MySQLクラウドサービスのインスタンスへのアクセスを取得するために必要な手順をご紹介します。


  • Collect the Instance VCN, Subnet Name, and Private IP


    • インスタンスのVCN、サブネット名、およびプライベートIPの収集


    インスタンスがどのVCNとサブネット内に存在するかを調べる必要があるので、MySQLクラウドインスタンスの詳細をクリックしてメモしておきます(下記1)。その間に、インスタンスのプライベートIPアドレスを取得します(#2)。




    Bastionの作成


    それでは、Bastionを作成します。Bastionのサービスは、コンソールの検索バーで検索すると見つかります。



    Bastionのリストで、「Create Bastion」をクリックします。



    名前をつけて、上で集めたVCNとサブネットを選びます。VCNがベースションを作成する場所と異なるコンパートメントに存在する場合は、コンパートメントを変更する必要があるかもしれません。CIDRブロック許可リストに、MySQLサービスに接続したいマシンのIPを入力します。これはおそらく、CIDR表記の自分のローカルIPアドレスになるでしょう。CIDRは、ネットワークのプロではない私たちにとっては厄介な記法ですが、CIDR記法は0から32まであり、各グループで利用できるIPアドレスの数は数が大きくなるにつれて少なくなることを理解してください。つまり、/0は4,294,967,296個の可能なアドレスを意味し、/32は1つのIPアドレスを意味します。単一のIPアドレス(自分のもの)を追加したいだけの場合は、XXX.XXX.XXX.XXX/32という形式で入力します。



     ヒント! 私は、ローカルIPを素早く簡単に確認する方法として、curl ifconfig.ioを使用しています。


    上記の情報を入力したら、「作成」をクリックします。Bastionは最初「作成中」の状態になります。



    Bastionが利用可能になったら、クリックして詳細を表示します。Bastionには、最大許容セッションTTL(time-to-live)が設定されています。これは、そのBastionを使用して作成されたセッションが持続する最長時間です。



    BastionのIPアドレスを収集し(#1)、ターゲットとなるサブネットをクリックして(#2)、必要な情報を得ます。




    Bastionにプライベートネットワークへのアクセスを許可する


    サブネットの詳細の中で、セキュリティリストをクリックします。



    bastionのIP(/32)に対して、ポート3306(デフォルトのMySQLポート)のingressルールを追加します。




    セッションの作成


    MySQLインスタンスへの接続にBastionを使用する場合、毎回「セッション」を作成する必要があります。これを行うには、Bastionの詳細画面に戻り、「Create Session」をクリックします。



    コンピュートインスタンスに接続する場合は、「Managed SSH session」を選択してユーザ名を入力しますが、MySQLの場合は「SSH port forwarding session」を選択し、上記で収集したMySQLインスタンスのプライベートIPを入力し、ポート3306を入力します。接続に使用するSSHキーペアの公開鍵を選択するか、貼り付けるのを忘れずに。これらの情報を入力したら、「Create Session」をクリックする。



    OCI CLIでは、以下のコマンドでセッションを作成することができます。頻繁に接続する場合には、自分のマシンのエイリアスとして設定することもできますので、良いショートカットになります。

    $ oci bastion session create-port-forwarding \
        --bastion-id ocid1.bastion.oc1…. \
        --ssh-public-key-file ~/.ssh/id_oci_demo.pub \
        --target-private-ip 10.0.1.3 \
        --target-port 3306 \
        --region us-ashburn-1 \

        --session-ttl 10800


    Bastion経由での接続


    この時点で、接続の準備が整いました。手動でSSHコマンドを作成することもできますが、コンソールではセッションリストのメニューをクリックすることで、あらかじめ入力された素敵なスニペットを表示し、コピーすることができます。







    自分の<privateKey>を入力し、<localPort>を3306に変更します。verbose出力のために-vを追加します。



    「pledge network」と表示されていれば接続されています。




    MySQL Workbenchを使ってインスタンスに接続


    接続が完了したので、任意のMySQLツールを使用して、localhost:3306または127.0.0.1:3306経由でインスタンスに問い合わせを行うことができます。例えば、MySQL Workbenchを使ってインスタンスへの接続を設定する方法は以下の通りです。



    「Test Connection」をクリックすると、インスタンスに接続されていることが確認できます。




    まとめ


    この記事では、ベースションについて簡単に説明し、その重要性を説明しました。そして、新しいバスションと、そのバスションを使用するセッションを作成しました。そして、そのセッションを使って、MySQLクラウドサービスで稼働しているインスタンスに接続しました。前述のとおり、ベースションサービスは、Oracle Cloudのあらゆるプライベートリソースに安全に接続するための完全に無料の方法です。

    コメント

    コメントを投稿

    このブログの人気の投稿

    Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20)

    イメージ
    Oracle Database 19cサポート・タイムラインの重要な更新 (2024/11/20) https://mikedietrichde.com/2024/11/20/important-update-to-oracle-database-19c-support-timelines/ 長い沈黙は、私が隠れているという意味ではありません。つまり、今はとても忙しいということです。そして、より少ない旅行で、私はあなたのコメントにもブログと返信するより多くの時間を持っていることを願っています。それでも、Oracle Database 19cサポート・タイムラインの非常に重要な更新について説明します。 * 更新された内容 2024年11月19日現在、Oracle Database 19cのサポート・タイムラインが調整されています。 MOSノート: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールを見ると、新しい日付が表示されます。 Premier Support、2029年12月31日まで 2030年1月1日から2032年12月31日までの拡張サポート 2033年1月1日から2034年12月31日までのアップグレード・サポート これは知ることがとても大切です。 他のリリースの更新はありますか。 MOSノートの終わりにある変更ログ: 742060.1 – 現在のデータベース・リリースのリリース・スケジュールでは、Oracle Database 21cの最新の更新も確認できます。このリリースのPremier Support期間は、2027年7月31日まで延長されました。 また、Oracle Database 23aiのパッチ適用終了日は2032年12月31日に設定されています。 Lifetime Support Policy 更新は、Oracle Technology Productsの Oracle Lifetime Support Policy (6ページ)でも確認できます。 From: Oracle Lifetime Support Policy for Oracle Technology Product s – page 6 – Nov 19, 2024 特に、次の表に示す制限事項に注意してください。 Oracle Database 1...
    続きを読む

    Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21)

    イメージ
    Oracle APEXのInteractive Gridで、Oracle Formsと比較して、重複行の検証を制御/通過させる方法 (2022/07/21) https://medium.com/oracledevs/how-to-control-or-pass-validation-for-duplicate-rows-in-interactive-grid-of-oracle-apex-as-compare-18f453f750bf 投稿者: Jignesh oracle Formsでは、データブロックの重複行を制御するのは非常に簡単ですが、IGの検証を制御するにはどうすればよいでしょうか。 必要な出力 ステップ1:インタラクティブグリッドのある白紙ページを作成します(私は1つの領域「IG」を作成し、インタラクティブグリッドとしてタイプを選択しました) ステップ 2: リージョンに Static ID を定義する (私の場合、リージョンは IG で、Static ID も IG です) ステップ3:複製を制御したいカラムのStatic IDを定義します ステップ4:関数とグローバル変数に移動します コード: var validity, message, ui = this.data; (function($) { function update(model) { var projKey = model.getFieldKey(“PROJECT_ID”), recObj = [], recArray = []; model.forEach(function(record, index, id) { var projid = parseInt(record[projKey], 10), // record[salKey] should be a little faster than using model.getValue in a loop meta = model.getRecordMetadata(id); if (!isNaN(projid) && !meta.deleted && !meta.agg) { recObj = {ID: id, project_id: projid}; recArray.push(recObj)...
    続きを読む

    Oracle APEX 24.1の一般提供の発表 (2024/06/17)

    イメージ
    Oracle APEX 24.1の一般提供の発表 (2024/06/17) https://blogs.oracle.com/apex/post/announcing-oracle-apex-241 投稿者: Ashish Mohindroo | Vice President, Product Management APEX Low Code Application Platform Oracle APEX 24.1は、 ダウンロード が一般的に可能になり、世界中のOCI APEX Application DevelopmentおよびAutonomous Database Cloud Serviceリージョンにロールアウトされています。この最新リリースで、GenAIを使用して最初のローコード・アプリケーションを構築する方法を学習します。リリースのお知らせのリプレイはこちらからご覧いただけます。 このリリースでは、優れたエンタープライズ・グレードのアプリケーションを簡単に構築できるイノベーションの3つの主要な柱(AI支援アプリケーション開発、Oracleの次世代データ・プラットフォームのパワー活用、高度なWebおよびモバイル・アプリケーションを構築するための強力なエンタープライズ・グレードのコンポーネント)が提供されています。 AI支援アプリ開発 このリリースでは、AIをローコード開発に直接取り込み、すべての開発者が高度なクラウドおよびモバイル・アプリケーションを簡単に構築できるようにしています。開発者は、AIをアシスタントとして使用して、時間と労力を削減してアプリを構築できるようになりました。APEX AIアシスタントを使用すると、開発者は複数のウィンドウを使用して表名と列名を検索する必要がなくなります。 APEX 24.1 では、クラウドおよびモバイル・アプリの自然言語ベースの開発を可能にするネイティブAI搭載APEX AIアシスタントを導入しました。APEX AIアシスタントを使用すると、すべての開発者は自然言語を使用してSQLを生成できるため、アプリケーションをより簡単に構築したり、ワンクリックで構文修正を実行したり、表名を覚える必要がなくなります。開発者は、自然言語プロンプトを使用して目的の機能とコンポーネントを指定し、直感的な会話型インタフェースを使用し...
    続きを読む