目次
はじめに
みなさん、こんにちは
Oracle Cloud Infrastructure 検証チームです。
今回はOCIの応用編にもあるBastionサービスを実際に使って、パブリックIPを持たないインスタンスに接続したいと思います。
今回はOCI環境に仮想ネットワーク(VCN)やインスタンスを作成していることを前提としています。
作成方法が分からないという方は、以下のOracle社提供のOCIチュートリアルをご参照ください。
引用元:その2 – クラウドに仮想ネットワーク(VCN)を作る
引用元:その3 – インスタンスを作成する
今回はOracle Cloud Infrastructure Foundations 2022 Certified Associate / Oracle Cloud Data Management 2022 Foundations Certified Associateを取得しました!に登場した事業部員の執筆記事です!
概要
Bastion(要塞)サービスとは
Bastionサービス(以降 要塞サービス)とは、パブリックIPを持たないインスタンスに要塞という踏み台サーバを作成する機能のことです。
通常インスタンスに接続するときは、パブリックIPを持っていないと外部との通信ができません。
パブリックIPを持たせたくない。しかしインスタンスに接続したい!そういったときに要塞サービスが役立ちます。
要塞サービスには以下の特徴・メリットがあります。
- 要塞サービスが無料で利用できる ※1
- パブリックIPを持つインスタンスが不要となる
- 必要なときのみ接続させることができる
※1 無料範囲内で作成できる要塞サービスリソース数が決まっています
踏み台用にパブリックIPを持つインスタンスを作成が不要となるため、料金が別途発生することがありません。
必要な時に接続させることにより、セキュリティが高く保たれます。
実践
目次
前述に記載の通り、前提として今回使用するVCNとインスタンスは作成しております。
それを踏まえて検証の流れとしては以下になります。
1.ポリシーの付与
Bastionサービスを使う際に以下の権限が必要となるため、IAMユーザに付与されているグループに以下のポリシーを付与いたします。
manage bastion
manage bastion-session
管理者や all resourceが付与されているユーザはすでに権限を持っているため、付与する必要はありません。
今回利用しているユーザには付与されているため省略致します。
実際に付与する際の構文は以下となります。
Allow group <グループ名> to manage bastion in tenancy/compartment <コンパートメント名>
Allow group <グループ名> to manage bastion-session in tenancy/compartment <コンパートメント名>
2.プラグインの有効化
作成したインスタンスからプラグインを有効化します。
有効化されるのに10分ほど時間がかかります。
3.要塞サービスの作成
要塞名 – TutorialBastion
仮想クラウドネットワーク – vcn-test(ご自身で作成されたVCNを選択します)
ターゲット・サブネット – パブリック・サブネット
CIDRブロック許可リスト – 0.0.0.0/0
※Bastionサービスのセッション時間は最大3時間になります。
4.インスタンスに接続
セッションタイプ – 管理対象SSHセッション
セッション名 – Session_Linux
ユーザー名 – opc
コンピュートインスタンス – private-instance(接続したいインスタンス名を選択します)
今回はSSHキーはセッション用に新規で作成します。
次に作成したセッションの一番右側のメニューバーをクリックして SSHコマンドのコピー を選択します。
以下のようなコマンドがコピーされますので、<privateKey>は実際の配置先を指定するように置き換えてコマンドプロンプト等で実行致します。
※<ocid>、<IPアドレス>は実際に置き換える必要はありません。
ssh -i <privateKey> -o ProxyCommand=”ssh -i <privateKey> -W %h:%p -p 22 <ocid>” -p 22 opc@<IPアドレス>
最後に
いかがでしたでしょうか。
要塞サービスを利用することでセキュリティを高めたまま、パブリックIPを持たないインスタンスに接続することができます。
おまけとして次回Windowsも試しに接続してみます!
ここまでご覧いただきありがとうございました!
OCIに関するお問合せはこちら!
OCIの技術関連記事はこちらをご覧ください!
投稿者プロフィール
Oracle Cloud2024年4月18日OCI ブロック・ボリュームをクローニングしてみよう!
Dbvisit Standby2024年3月29日【Dbvisit Standby】Dbvisit Software Limited 様と対談致しました 第4弾 世界の面白ウェビナー、新しいお客様達へ- Dbvisit Standby2024年3月21日【Dbvisit Standby】Dbvisit Software Limited 様と対談致しました 第3弾 グローバルスタンダードなDbvisit StandbyMP(最大規模のデータベース)
- Dbvisit Standby2024年3月12日【Dbvisit Standby】Dbvisit Software Limited 様と対談致しました 第2弾 FSDRの魅力 と FSDRにDbvisit Standbyがエントリーされます
アナタにおすすめのこちらの関連記事も読んでみませんか?
【再掲載】仮想Linuxサーバってなぁに?? 5
便利機能!DBaaSモニター・コンソールの利用(2017年12月18日現在)
【再掲載】事例紹介します!_2/2
【再掲載】Oracle Database以外の製品も当社から購入できます!お気軽にお問合せください!
OCIコンソール画面からオブジェクト・ストレージを作成してみた!
Oracle Cloud Infrastructure 2022 Certified Architect Associateを取得しました!- Oracle Cloud Infrastructure 2022 Certified Architect Professional を取得しました!