Bastion_overview.pdf

Transcript

1. Oracle Cloud Infrastructure Bastion（要塞） 機能概要 Oracle Cloud Infrastructure 技術資料 2025年08月

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

   – © 2025 Oracle and/or its affiliates. All rights reserved. 2

3. Agenda 1 Bastion概要 2 使用法 2.1 Bastionの作成 2.2 セッションの作成 2.3

   接続 3 制限 Copyright © 2025, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted 3

4. Bastion概要 Oracle Cloud Infrastructure Bastion

5. 要塞 / Oracle Cloud Infrastructure Bastion Copyright – © 2025

   Oracle and/or its affiliates. All rights reserved. 5 パブリック・エンドポイントを持たないターゲット・リソースに、踏み 台サーバなしで制約・時間制限付きでアクセスできるサービス Bastion自体は、無償で利用可能 Bastion プライベート・サブネット内のターゲット・リソースに対し、安全にパブリッ ク・アクセスする上で必要なネットワーク・インフラストラクチャを確立す る論理エンティティ 対象のVCNごとにBastionが必要 セッション セッション作成時に SSH 公開キーを指定し、接続時に秘密キーを指 定することで、秘密キーを持つ認可ユーザーが決められた期間内で ターゲット・リソースに接続できる ターゲット・リソース VCN 内のエンティティ Bastion でホストされているセッションを使用して接続できる ターゲット・ホスト SSH での Linux/Windows OS へのアクセスを提供する、特定のタ イプのターゲット・リソース コンピュート・インスタンス、仮想マシン DB システム など OCI Region クライアント VCN Private Subnet Bastion サービス・ ゲートウェイ インスタンス SSH クライアント セッション Port 22 SSH トンネル データベース DB クライアント セッション Port 1521

6. 1. Bastionの作成 2. セッションの作成 3. 接続 使用方法 Copyright – ©

   2025 Oracle and/or its affiliates. All rights reserved. 6 * 「動的ポート転送（SOCKS5）セッション」を 使用する場合、Bastion作成画面で以下の トグルをオンにする 1. 管理対象SSHセッション 2. SSHポート転送セッション 3. 動的ポート転送（SOCKS5）セッション 1. コンソール上で作成したセッションのSSHコマ ンドをコピー 2. クライアント端末からSSH

7. 使用方法1：Bastionの作成 Copyright – © 2025 Oracle and/or its affiliates. All

   rights reserved. 7

8. Bastion の作成 Copyright – © 2025 Oracle and/or its affiliates.

   All rights reserved. 8 接続先サブネットを指定 動的ポート転送 (SOCKS5) セッションを使用する場合は、 トグルをオンにする 許可する CIDR の範囲を絞る 次に作成する「セッション」にも “最大セッション存続時間” の 指定欄あり • 「要塞」 TTL： 30分 ～ 180分 • 「セッション」 TTL： 30分 ～ 「要塞」 TTL

9. 使用方法2：セッションの作成 Copyright – © 2025 Oracle and/or its affiliates. All

   rights reserved. 9

10. ターゲット・リソースのタイプ別に、3つのセッション 1. 管理対象SSHセッション • Linuxプラットフォーム・イメージで、OpenSSHサーバー実行のインスタンスに接続 2. SSHポート転送セッション • クライアント・マシンの特定のポートとターゲット・リソースの特定のポート間を安全に接続 •

    SSHでほとんどのTCPサービスおよびプロトコルをトンネルできる 3. 動的ポート転送（SOCKS5）セッション • プライベート・サブネット内の任意のターゲット・リソースに動的に接続 • ターゲット・サブネットへのトンネルを作成し、クライアントは接続先のリソースおよびポートを決定 （他2つのセッションは特定のターゲット・リソースへの接続を構成） セッション・タイプ Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 10

11. Linuxインスタンスでのみ使用可能 【要件】 次をすべて満たすインスタンスにSSH可能 • Linux プラットフォーム・イメージ • OpenSSH サーバーが実行済 •

    Oracle Cloud Agent で Bastion プラグイン有効化 セッション・タイプ 1：管理対象SSHセッション Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 11 OCI Region クライアント VCN Private Subnet Bastion サービス・ ゲートウェイ インスタンス SSH クライアント セッション Port 22 • Linux • OpenSSHサーバ実行 • Bastionプラグイン有効化

12. Linuxインスタンスでのみ使用可能 セッション・タイプ 1：管理対象SSHセッション Copyright – © 2025 Oracle and/or its

    affiliates. All rights reserved. 12 セッション・タイプを指定 セッション名を入力 ユーザー名を入力（デフォルト：opc） VMを指定 SSH公開キーを追加 TutorialBastion ※ユーザー名について ターゲット・インスタンスの有効な OS ユーザー名を入力 ほとんどのプラットフォーム・イメージにおいて、デフォルトのユーザー名は opc 詳細：OCIドキュメント 「プラットフォーム・イメージ/Linuxイメージの詳細/ユーザー」 https://docs.oracle.com/ja- jp/iaas/Content/Compute/References/images.htm#Oracle__linux-users

13. クライアント・マシンの特定のポートをターゲット・リソースの特定のポートに安全に転送 【トンネル可能なTCPサービス&プロトコル】 次を含め、ほとんどのTCPサービス&プロトコルをトンネル可能 • リモート・デスクトップ・プロトコル（RDP） • Oracle Net Services •

    MySQL セッション・タイプ 2： SSHポート転送セッション Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 13 OCI Region クライアント VCN Private Subnet Bastion サービス・ ゲートウェイ SSH トンネル データベース DB クライアント セッション Port 1521

14. クライアント・マシンの特定のポートをターゲット・リソースの特定のポートに安全に転送 セッション・タイプ 2： SSHポート転送セッション Copyright – © 2025 Oracle and/or

    its affiliates. All rights reserved. 14 セッション・タイプを指定 セッション名を入力 いずれかでターゲット・ホストを指定 • IPアドレス • ドメイン名 • インスタンス名 ポートを入力 SSH公開キーを追加 TutorialBastion

15. ターゲット・サブネットへのトンネルを作成し、任意のターゲット・リソースに動的に接続 セッション・タイプ 3：動的ポート転送（SOCKS5）セッション Copyright – © 2025 Oracle and/or its

    affiliates. All rights reserved. 15 【SSHポート転送セッション との違い】 • SSHポート転送セッション ➢ 特定のターゲット・リソース（IPアドレスまたはDNS名） に接続するように構成 • 動的ポート転送（SOCKS5）セッション ➢ ターゲット・サブネットへのトンネルを作成し、クライアント は接続先のリソースおよびポートを決定 OCI Region クライアント VCN Private Subnet Bastion サービス・ ゲートウェイ SSH トンネル データベース セッション Port 1521 SOCKS5 クライアント クライアント アプリケーション SOCKS5サーバ として機能 インスタンス Port 22

16. ターゲット・サブネットへのトンネルを作成し、任意のターゲット・リソースに動的に接続 セッション・タイプ 3：動的ポート転送（SOCKS5）セッション Copyright – © 2025 Oracle and/or its

    affiliates. All rights reserved. 16 TutorialBastion セッション名を入力 セッション・タイプを指定 SSH公開キーを追加

17. 使用方法3：接続 Copyright – © 2025 Oracle and/or its affiliates. All

    rights reserved. 17

18. SSHコマンドのコピー Copyright – © 2025 Oracle and/or its affiliates. All

    rights reserved. 18 セッションの三点リーダーをクリック、 「SSHコマンドのコピー」 SSHポート転送セッションのSSHコマンド例） ※ < > の部分は書き換えて使用する ssh -i <privateKey> -N -L <localPort>:10.0.1.231:8000 -p 22 ocid1.bastionsession.oc1.ap-tokyo- 1.amaaaaaassl65iqaj6hzkof5r366muobjptvug3hfteaiyuttcwkhwqrubxq@host.bastion.ap-tokyo-1.oci.oraclecloud.com

19. クライアントでターミナルなどの端末を開き、秘密鍵が格納されているディレクトリで、コンソールからコピーして <> で指定 された箇所を書き換えたSSHコマンドを実行する 接続1：管理対象セッションの接続例 Copyright – © 2025 Oracle

    and/or its affiliates. All rights reserved. 19 PS C:¥Users¥yimai¥Downloads> ssh -i ssh-key-2024-03-07.key.pem -o ProxyCommand="ssh -i ssh-key- 2024-03-07.key.pem -W %h:%p -p 22 ocid1.bastionsession.oc1.ap-tokyo- 1.amaaaaaassl65iqajrxkhm327nk2tsxi7eyvolydyzqmd2ohvs63xicpxwzq@host.bastion.ap-tokyo- 1.oci.oraclecloud.com" -p 22 [email protected] Last login: Fri Nov 22 08:55:55 2024 from 10.0.1.96 [opc@imai-privatevm ~]$ SSHコマンドを実行 VMにアクセスできた状態

20. 接続2：SSHポート転送セッションの接続例 1. ターミナルを開き、秘密鍵が格納されているディレク トリで、コンソールからコピーして <> で指定された箇 所を書き換えた「SSHポート転送セッション」のSSHコ マンドを実行 2. Webブラウザの検索バーに以下を入力

    localhost:<localport> 20 Copyright © 2025, Oracle and/or its affiliates | Confidential: Internal/Restricted/Highly Restricted PS C:¥Users¥yimai¥Downloads> ssh -i ssh-key-2024-03-07.key.pem -N -L 12345:10.0.1.231:8000 -p 22 ocid1.bastionsession.oc1.ap- tokyo- 1.amaaaaaassl65iqaj6hzkof5r366muobjptvug3hfteaiyuttcwkhwqrubx [email protected] SSHコマンドを実行 入力

21. 制限 Copyright – © 2025 Oracle and/or its affiliates. All

    rights reserved. 21

22. ◆ サービス制限（デフォルト） ◆ その他の制限 • データ転送の制限はなし • TTLの指定範囲 - Bastion

    作成時に指定できるセッション TTL：30分 ～ 180分 - セッション作成時に指定できるセッション TTL：30分 ～ Bastion 作成時指定のセッション TTL 制限 Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 22 リソース 制限 Bastion リージョン 当たり最大 5 セッション Bastion 当たり最大 20

23. 日本語マニュアル – 要塞 • https://docs.oracle.com/ja-jp/iaas/Content/Bastion/Concepts/bastionoverview.htm チュートリアル – BastionサービスでパブリックIPを持たないリソースにアクセスする • https://oracle-japan.github.io/ocitutorials/intermediates/bastion/

    要塞 関連の技術情報 Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 23

24. Oracle Cloud Infrastructure マニュアル (日本語 / 英語) • https://docs.cloud.oracle.com/iaas/api/ -

    APIリファレンス • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカル・ホワイト・ペーパー • https://docs.oracle.com/en-us/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 24

25. Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ チュートリアル - Oracle Cloud

    Infrastructureを使ってみよう • https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright – © 2025 Oracle and/or its affiliates. All rights reserved. 25

26. Thank you Copyright – © 2025 Oracle and/or its affiliates.

    All rights reserved. 26
27. None

28. Our mission is to help people see data in new

    ways, discover insights, unlock endless possibilities.