Oracle Cloud Infrastructure - Dokumentation

Virtuelle TAPs

Ein Virtual Test Access Point (VTAP) bietet eine Möglichkeit, Traffic von einer ausgewählten Quelle zu einem ausgewählten Ziel zu spiegeln, um bei der Fehlerbehebung, Sicherheitsanalyse und Datenüberwachung zu helfen.

Der VTAP verwendet einen Erfassungsfilter mit einer Gruppe von Regeln, die festlegen, welcher Traffic von einem VTAP gespiegelt wird. Bei der Erstellung wird ein VTAP standardmäßig auf STOPPED gesetzt. Sie müssen daher auf VTAP starten klicken, bevor der Traffic wie gewünscht gespiegelt wird.

Sie können einen Erfassungsfilter erstellen, während Sie einen VTAP erstellen, oder einen vorhandenen Erfassungsfilter einem neuen VTAP zuweisen.

VTAP-Quellen und -Ziele

Die VTAP-Quelle ist die Ressource, die der VTAP überwacht. Traffic auf dieser Ressource wird gespiegelt und an ein ausgewähltes Ziel gesendet. Die VTAP-Quelle und das VTAP-Ziel müssen in demselben VCN gehostet werden. Sie können sich in verschiedenen Compartments oder Subnetzen befinden, vorausgesetzt, Sie verfügen über die erforderlichen Berechtigungen zum Anzeigen und Arbeiten mit diesen Ressourcen. Mögliche VTAP-Quellen:

Geben Sie für Compute-Instanzen die OCID der angehängten VNIC an. Geben Sie für die anderen Quelltypen die OCID der Serviceressource an.

​Das Ziel ist die Ressource, die von einem VTAP gespiegelten Traffic empfängt. Mögliche VTAP-Ziele:

Hinweis

Wenn eine Ressource gelöscht wird, die als Quelle oder Ziel eines VTAP verwendet wird, kann der VTAP nicht mehr funktionieren, und die Konsole versetzt den VTAP in den gestoppten Status. Um den VTAP neu zu starten, wählen Sie eine neue Ressource aus, um die fehlende Ressource zu ersetzen.

Dieses Diagramm zeigt eine Beispielimplementierung eines VTAP.

Diagramm, in dem ein VTAP mit einer Quelle und einem Ziel dargestellt wird.

In diesem Beispiel sendet die virtuelle Maschine in Subnet-A Traffic an eine andere virtuelle Maschine in Subnet-B. Der VTAP in Subnet-A prüft den Traffic, der die virtuelle Maschine verlässt. Da dieser Traffic mit dem verwendeten Erfassungsfilter übereinstimmt, wird der Traffic vom VTAP zum Ziel gespiegelt (in diesem Fall ein Network Load Balancer in Subnet-C). Das Backend-Set kann dann die entsprechende Analyse für den gespiegelten Traffic ausführen.

Erfassungsfilter und -regeln

Erfassungsfilterregeln wählen aus, was in dem von der Quelle zum Ziel gespiegelten Traffic enthalten ist. Viele VTAPs können denselben Erfassungsfilter verwenden. Daher wirkt sich eine Änderung der Regeln eines Erfassungsfilters auf alle VTAPs aus, die diesen Erfassungsfilter verwenden. Ein Erfassungsfilter muss mindestens eine Regel (max. 10 Regeln) enthalten. Erfassungsfilterregeln werden in der von Ihnen definierten Reihenfolge geprüft. Wenn eine Übereinstimmung gefunden wird, wird diese Regel angewendet. Wenn für eine bestimmte Regel keine Übereinstimmung gefunden wird, wird die nächste Regel in der Sequenz ausgewertet und bei Übereinstimmung ausgeführt. Die Reihenfolge der Regeln kann das Verhalten des Erfassungsfilters ändern.

Ein Erfassungsfilter kann basierend auf den folgenden Kriterien eine Aktion ausführen (Pakete ein- oder ausschließen):

  • Das Paket ist Teil des Ingress- oder Egress-Traffics.
  • Das Paket ist an einen bestimmten IPv4-CIDR-Quell- oder -Zielblock oder ein IPv6-Präfix gebunden oder stammt daraus.
  • Das Paket verwendet einen bestimmten IP-Protokollparameter (TCP- oder UDP-Portbereich, ICMP, ICMPv6), der vom Traffic verwendet wird, oder beliebige Protokolle (über die Standardeinstellung Alle).

Wenn eine Regel keinen CIDR-Block, kein Präfix oder kein IP-Protokoll angibt, werden alle IP-Adressen oder IP-Protokolle für diese Regel akzeptiert.

Im Folgenden finden Sie ein praktisches Beispiel für die Strukturierung eines Regelsets. Das Ziel ist, dass der gesamte Traffic von 10.1.0.0/16 eingeschlossen ist, mit Ausnahme von 10.1.1.1 (dies ist ausgeschlossen):

  1. Quell-CIDR: 10.1.1.1/32, Ausschließen
  2. Quell-CIDR: 10.1.0.0/16, Einschließen
  3. Quell-CIDR: 10.1.1.0/24, Einschließen

Der Erfassungsfilter wertet jedes Paket im Traffic anhand der Regeln in der definierten Reihenfolge aus. Ein Paket von 10.1.1.1 entspricht der ersten Regel und wird vom gespiegelten Datenverkehr ausgeschlossen. Das Paket wird nicht mit den anderen Regeln im Set verglichen. Das Regelset funktioniert ordnungsgemäß.

Wenn die erste Regel auf die dritte Stelle in der angegebenen Reihenfolge verschoben wird, funktioniert das Regelset nicht mehr wie beabsichtigt:

  1. Quell-CIDR: 10.1.0.0/16, Einschließen
  2. Quell-CIDR: 10.1.1.0/24, Einschließen
  3. Quell-CIDR: 10.1.1.1/32, Ausschließen

Da die Erfassungsfilterregeln jedes Paket im Traffic in der definierten Reihenfolge auswerten, stimmt ein Paket von 10.1.1.1 jetzt mit der ersten Regel überein und ist im gespiegelten Traffic enthalten. Weitere Regelauswertungen werden übersprungen. In diesem Beispiel werden CIDR-Blöcke verwendet. Regeln werden jedoch unabhängig vom ausgewählten Quelltyp auf dieselbe Weise ausgewertet.

Weitere Informationen finden Sie unter Erfassungsfilter.

Erweiterte VTAP-Features

VXLAN-Netzwerk-ID (VNI): Geben Sie eine VNI ein, um den VXLAN-Kapselungstunnel eindeutig zu identifizieren. Wenn Sie keine VNI angeben, wird eine VNI automatisch generiert.

Max. Paketgröße: Sie können eine maximale Paketgröße von 64 bis 9000 Byte angeben. Um eine bessere Performance oder eine effiziente Aufnahme am Ziel zu erreichen, können Sie die gespiegelten Pakete auf eine geringere Länge abschneiden. Ein VTAP arbeitet mit der MTU von 9000 Byte, die auf allen Instanz-NICs festgelegt ist. Aufgrund des Overhead der VTAP-Kapselung (VxLAN) muss die MTU bei Instanz-VNICs, bei denen es sich um VTAP-Quellen handelt, die Ziel-MTU minus den Overhead der VTAP-Kapselung berücksichtigen. Um zu vermeiden, dass Pakete in erfassten VTAP-Paketen abgeschnitten werden, muss die MTU der Quellinstanzschnittstellen für IPv4 auf 8950 oder niedriger oder für IPv6 auf 8930 oder niedriger gesetzt sein. Es wird empfohlen, dass für alle Zielinstanzen die NICs so eingestellt sind, dass sie eine MTU von 9000 Byte verwenden (Standard in Oracle-Standardimages).
Hinweis

Wenn ein VTAP in einer bestimmten unterstützten Quelle aktiviert ist, belegt der durch die Spiegelung von Paketen generierte Overhead eine Netzwerkbandbreite. Die Netzwerkkapazität wird durch die zugrunde liegende Ausprägung der Instanz bestimmt, an die eine VNIC angehängt ist. Auf der VNIC ist ein VTAP implementiert.

Wenn Sie mehr als 30% der verfügbaren, vom Service unterstützten Netzwerkbandbreite verwenden und einen VTAP aktivieren möchten, wird empfohlen, die zugrunde liegende Serviceausprägung upzugraden.

Alternativ können Sie eine kleinere maximale Paketgröße angeben, wenn Sie einen VTAP zur Verwendung einer MTU von 1500 oder weniger konfigurieren, um eine bessere Gesamtperformance und Bandbreite zu erreichen.

Bei abgeschnittenen gespiegelten Paketen werden die Paketheaderparameter der Payload wie Länge und Prüfsumme nicht aktualisiert.

Prioritätsmodus: Wenn Sie diese Option verwenden, erhält überwachter und gespiegelter Traffic die gleiche Priorität, wenn die Quelle überlastet ist. Standardmäßig wird der Produktionstraffic vor dem gespiegelten VTAP-Traffic priorisiert. Wenn Sie den Prioritätsmodus aktivieren, erhalten überwachter Traffic und der VTAP-gespiegelte Traffic die gleiche Priorität. Wenn diese Option ausgewählt ist, kann der gespiegelte Datenverkehr dazu führen, dass ein Teil des überwachten Datenverkehrs gelöscht wird, wenn die Quelle überlastet ist. Wenn dieser Paketverlust erkannt wird, können Sie entweder den Prioritätsmodus deaktivieren oder die Quellausprägungen upgraden, um Bandbreite freizugeben.

Anforderungen und Vorbereitung

Für die Implementierung eines VTAP sind mindestens eine gültige Quelle und ein gültiges Ziel in demselben VCN erforderlich. Diese Ressourcen müssen vorhanden sein, bevor Sie einen VTAP erstellen. Das Ziel kann sich in einem anderen Subnetz als die Quelle befinden.

Abhängigkeiten

Bei der Arbeit mit VTAPs müssen Sie einige wichtige Abhängigkeiten verstehen:

  • Ein VTAP muss immer über eine Quelle, ein Ziel und einen verknüpften Erfassungsfilter verfügen.
  • Ein Erfassungsfilter muss immer mindestens eine zugeordnete Regel aufweisen.
  • Eine VNIC kann niemals eine Quelle für mehr als einen VTAP sein. Weitere Details finden Sie unter VTAP-Quellen und -Ziele.

Die folgenden erwarteten Verhaltensweisen werden angezeigt:

  • Sie können keinen VTAP erstellen, ohne eine Quelle und ein Ziel ausgewählt und mit einem vorhandenen Capture-Filter verknüpft zu haben. Sie können bearbeiten, welcher Erfassungsfilter mit dem VTAP verknüpft ist. Die Verwendung eines VTAP, dem kein Erfassungsfilter zugeordnet ist, ist nicht möglich.
  • Sie können keinen Erfassungsfilter löschen, der mit einem VTAP verknüpft ist. Um einen Capture-Filter zu löschen, den ein oder mehrere VTAPs verwenden, müssen Sie diesen VTAPs vor dem Löschen des Capture-Filters einen anderen Capture-Filter zuordnen.
  • Sie können keinen leeren Erfassungsfilter erstellen oder bearbeiten, der mehr keine Regeln enthält.
  • Wenn eine VTAP-Quelle oder ein VTAP-Ziel gelöscht wird, wird der VTAP automatisch in den Status STOPPED versetzt. Um einen aus diesem Grund gestoppten VTAP neu zu starten, bearbeiten Sie den VTAP, um eine neue gültige Quelle oder ein neues gültiges Ziel zuzuweisen. Dadurch wird der VTAP wieder in den Status RUNNING versetzt.

Erforderliche IAM Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.

Für Administratoren: Weitere Informationen finden Sie unter IAM-Policys für Networking.

Limits für IAM-Ressourcen

Eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung beantragen finden Sie unter Servicelimits. Administratoren können Compartment Quotas verwenden, um Compartment-spezifische Limits für eine Ressource oder Ressourcenfamilie festzulegen.

Eine Liste der für diesen Service spezifischen Limits finden Sie unter VTAP-Limits.

Validierte Oracle-Partnerlösungen

Einige Mitglieder des Oracle Partner Network (OPN) verfügen über verifizierte Lösungen im Oracle Marketplace, die mit einem VTAP funktionieren. Sie können diese Lösungen bereitstellen, wenn Sie einen VTAP verwenden, um gespiegelten Traffic an ein Network Load Balancer-Ziel zu senden.

Hinweis

Sie können andere Lösungen mit VTAP verwenden, diese Lösungen werden jedoch von Oracle validiert.