こんにちは。NTTデータ先端技術の@EumJinmanです。
本記事は、Oracle Cloud Infrastructure(OCI)「プライベートエンドポイントアクセスのみ」で作成したAutonomous Database(ADB)にインターネット経由で接続する方法の1つとして方法その3 : Bastion(要塞)サーバ経由でADBに接続を紹介します。
その他接続方法や、全体の概要については以下のリンクをご確認ください。
全体の概要:全体の概要
方法その1:コンピュートインスタンス経由でADBに接続
方法その2:ネットワークロードバランサー(NLB)経由でADBに接続
OCIのBastionサーバを利用し、SSHトンネル経由でADBに接続する方法です。SSHトンネル経由でセキュアな接続が可能ですが、接続のために都度セッションとSSHトンネルを作成する必要があります。(持続的な接続には向かない)
※Bastion自体の使用料金は発生しない。
OS:Windows 10
接続ツール:SQL Developer 24.3.1
リージョン:ap-northeast-1(アジアパシフィック (東京))
ワークロード・タイプ:Oracle Autonomous JSON Databases
データベースのバージョン:19c
アクセスタイプ:プライベートエンドポイント
①SQL Developerがインストールされていること
②クライアント環境からBastionサーバが作成されているパブリックサブネットに接続できること
①ADBが作成されていること
②パブリックサブネットのセキュリティリストにクライアント環境から接続するための適切なイングレスルールが設定されていること。(例:ADBポート1522など)
③プライベートサブネットのセキュリティリストにBastionサーバから接続するための適切なイングレスルールが設定されていること。(例:ADBポート1522など)
④クライアント環境の任意の場所にWalletがダウンロードされていること
クライアント環境からADBへ接続する際に使用するBastionサーバを作成します。
OCIコンソールページ左上から「ナビゲーション・メニュー」→「アイデンティティとセキュリティ」→「要塞」→「要塞の作成」をクリックします。
※Bastionは英語表現で要塞は日本語表現になります。添付のイメージが日本語表示になっているため、合わせて日本語で表記します。
要塞の作成ページから以下の情報を入力し、「要塞の作成」をクリックします。
・要塞名:要塞の名前
・ターゲット仮想クラウド・ネットワーク:ADBが配置されているVCNを選択
・ターゲット・サブネット:ADBが配置されているプライベートサブネットを選択
・CIDRブロック許可リスト:接続を許可するCIDRブラック(0.0.0.0/0)
※今回は検証のため、CIDRブロック許可リストとして0.0.0.0/0設定していますが、要件や、状況に応じて接続元の範囲を絞って設定してください。
※「拡張オプションの表示」をクリックするとBastionで作成するセッションの最大存続時間を設定することが可能です。(デフォルトでは180分)
クラウド環境からADBへのSSHトンネルを作成するために必要なセッションを作成します。
4-1で作成した要塞ページに移動し、「セッションの作成」をクリックします。
セッションの作成ページから以下の情報を入力し、「セッションの作成」をクリックします。
・セッション・タイプ:SSHポート転送セッション
・セッション名:セッションの名前
・次を使用してターゲット・ホストに接続します:IPアドレス
・IPアドレス:ADBのプライベート・エンドポイントIPアドレス
・ポート:1522
・SSHキーの追加:SSHキー・ファイルの選択(SSH公開キー(.pub)をアップロード)
※追加するSSHキーはクライアント環境から要塞への接続に使用される鍵です。
※今回は既存のSSHキーを使用するため、「SSHキー・ファイルの選択」をしていますが、要件や、状況に応じてSSHキーの追加方法を選択してください。
※「拡張オプションの表示」をクリックするとセッションの最大存続時間を設定することが可能です。(デフォルトでは180分)
※セッションの最大存続時間はBastionで設定した最大存続時間を超えることができないので注意が必要です。
クライアント環境からSSHトンネルを作成する際に使用するSSHコマンドをOCIコンソールからコピーします。
4-2で作成したセッションページに移動し、対象のセッション右側の「三点リーダーメニュー」→「SSHコマンドのコピー」をクリックし、SSHコマンドをコピーします。
※コピーしたSSHコマンドは5-2で使用するため、控えておいてください。
SQL DeveloperはWalletのtnsnames.oraの中に記載されているADBのホスト名を参照し、ADBに接続します。しかし、プライベートエンドポイントのADBはインタネットから直接接続できないプライベートネットワークに配置されているため、クライアント環境から正しく名前解決できず、接続失敗することになります。
クライアント環境のホストファイルを編集し、ADBのホスト名をクライアント環境のローカルIPアドレス(127.0.0.1)にマッピングすることでクライアント環境から正しく名前解決できるようになります。
クライアント環境のホストファイルにADBのホスト名をクライアント環境のローカルIPアドレスにマッピングする設定を追加します。
ホストファイル:C:WindowsSystem32driversetchosts
追加する設定:
※追加する設定の例:127.0.0.1 xxxxx.adb.ap-tokyo-1.oraclecloud.com
クライアント環境のWindowsPowerShellからSSHトンネルを作成します。
PowerShellでsshコマンドを実行するためにはOpenSSHクライアントがインストールされている必要があります。以下のコマンドでOpenSSHクライアントがインストールされていることを確認します。
コマンド実行結果
OpenSSH_for_Windows_9.5p1, LibreSSL 3.8.2
上記、ssh -Vコマンドの実行結果でSSHのバージョン情報が表示されない場合は、OpenSSHクライアントがインストールされてない状況のため、以下のコマンドでインストールします。
実行コマンド
Add-WindowsCapability -Online Name OpenSSH.Client~~~~0.0.1.0
4-3でコピーしたSSHコマンドの以下項目を編集します。
privateKey:BastionサーバのSSH機密鍵の場所
localPort:1522
※その他情報は、OCI側から自動作成されるため、編集不要です。
※SSH機密鍵をアクセス権限が広い場所に格納してしまうとSSHのセキュリティ問題が原因でエラーが発生します。SSH秘密鍵は、他のユーザーからアクセスできないように適切な場所に格納する必要があります。
編集前 SSHコマンド例:
ssh -i -N -L :10.0.1.110:1522 -p 22 ocid1.bastionsession.oc1.ap-tokyo-1xxx@xxxxxxxxxxxxxxxxxxx
編集後 SSHコマンド例:
ssh -i C:Usersjinman.eum.sshssh-key-2025-02-14.key -N -L 1522:10.0.1.110:1522 -p 22 ocid1.bastionsession.oc1.ap-tokyo-1xxx@xxxxxxxxxxxxxxxxxxx
※上記コマンドが成功し、SSHトンネルが作成された場合、PowerShellのコマンドプロンプトは返ってこないです。
SQL Developerメイン画面から左上の「+」→「新規データベース接続」をクリックし、データベース接続の作成/選択画面に移動します。
データベース接続の作成/選択画面から以下の情報を入力し、「テスト」をクリックします。
Name:接続名
ユーザー名:admin
パスワード:adminのパスワード
接続タイプ:クラウド・ウォレット
構成ファイル:Walletファイル(.zip)
サービス:接続文字列
※構成ファイルはダウンロード済みのWalletファイルをzipファイルのまま選択します。
※サービスは任意の接続文字列を選択します。(例:_high、_low、_mediumなど)
テスト完了し、ステータスが成功になった場合、「接続」をクリックし、対象のADBに接続します。
今回は、「プライベートエンドポイントアクセスのみ」で作成したADBにBastionサーバ経由ででインタネットから接続する方法について紹介しました。
OCIのBastionサーバを利用し、SSHトンネル経由でADBに接続する方法は、SSHトンネル経由でセキュアな接続が可能ですが、接続のために都度セッションとSSHトンネルを作成する必要があることに注意してください。
Be the first to comment
