Oracle Cloud Infrastructure - Dokumentation

Virtuelle TAPs

Mit einem virtuellen TAP (Virtual Test Access Point, VTAP) kann Traffic von einer festgelegten Quelle zu einem ausgewählten Ziel gespiegelt werden. Dies vereinfacht die Fehlerbehebung, die Sicherheitsanalyse und das Datenmonitoring.

Der VTAP verwendet einen Erfassungsfilter mit einer Gruppe von Regeln, die festlegen, welcher Traffic von einem VTAP gespiegelt wird. Ein VTAP wird bei der Erstellung standardmäßig auf STOPPED gesetzt. Sie müssen daher auf VTAP starten klicken, bevor der Traffic wie gewünscht gespiegelt wird.

Sie können einen Erfassungsfilter erstellen, während Sie einen VTAP erstellen, oder einen vorhandenen Erfassungsfilter einem neuen VTAP zuweisen.

VTAP-Quellen und -Ziele

Die VTAP-Quelle ist die Ressource, die vom VTAP überwacht wird. Traffic auf dieser Ressource wird gespiegelt und an ein ausgewähltes Ziel gesendet. Die VTAP-Quelle und das VTAP-Ziel müssen in demselben VCN gehostet werden. Sie können sich in verschiedenen Compartments oder Subnetzen befinden, vorausgesetzt, Sie verfügen über die erforderlichen Berechtigungen zum Anzeigen und Arbeiten mit diesen Ressourcen. Mögliche VTAP-Quellen:

Geben Sie für Compute-Instanzen die OCID der angehängten VNIC an. Geben Sie für die anderen Quelltypen die OCID der Serviceressource an.

​Das Ziel ist die Ressource, die von einem VTAP gespiegelten Traffic empfängt. Mögliche VTAP-Ziele:

Hinweis

Wenn eine Ressource gelöscht wird, die als Quelle oder Ziel eines VTAP verwendet wird, kann der VTAP nicht mehr funktionieren, und die Konsole versetzt den VTAP in den gestoppten Status. Um den VTAP neu zu starten, wählen Sie eine neue Ressource aus, um die fehlende Ressource zu ersetzen.

Dieses Diagramm zeigt eine Beispielimplementierung eines VTAP.

Diagramm, in dem ein VTAP mit einer Quelle und einem Ziel dargestellt wird.

In diesem Beispiel sendet die virtuelle Maschine in Subnet-A Traffic an eine andere virtuelle Maschine in Subnet-B. Der VTAP in Subnet-A prüft den Traffic, der die virtuelle Maschine verlässt. Da dieser Traffic mit dem verwendeten Erfassungsfilter übereinstimmt, spiegelt der VTAP den Traffic zum Ziel (in diesem Fall ein Network Load Balancer in Subnet-C) wider. Das Backend-Set kann dann die entsprechende Analyse für den gespiegelten Traffic ausführen.

Erfassungsfilter und -regeln

Erfassungsfilterregeln wählen aus, was in dem von der Quelle zum Ziel gespiegelten Traffic enthalten ist. Viele VTAPs können denselben Erfassungsfilter verwenden. Daher wirkt sich eine Änderung der Regeln eines Erfassungsfilters auf alle VTAPs aus, die diesen Erfassungsfilter verwenden. Ein Erfassungsfilter muss mindestens eine Regel (max. 10 Regeln) enthalten. Erfassungsfilterregeln werden in der von Ihnen definierten Reihenfolge geprüft. Wenn eine Übereinstimmung gefunden wird, wird diese Regel angewendet. Wenn für eine bestimmte Regel keine Übereinstimmung gefunden wird, wird die nächste Regel in der Sequenz ausgewertet und bei Übereinstimmung ausgeführt. Die Reihenfolge der Regeln kann das Verhalten des Erfassungsfilters ändern.

Ein Erfassungsfilter kann basierend auf den folgenden Kriterien eine Aktion ausführen (Pakete ein- oder ausschließen):

  • Das Paket ist Teil des Ingress- oder Egress-Traffics.
  • Das Paket ist an einen bestimmten IPv4-CIDR-Quell- oder -Zielblock oder ein IPv6-Präfix gebunden oder stammt daraus.
  • Das Paket verwendet einen bestimmten IP-Protokollparameter (TCP- oder UDP-Portbereich, ICMP, ICMPv6), der vom Traffic verwendet wird, oder beliebige Protokolle (über die Standardeinstellung Alle).

Wenn eine Regel keinen CIDR-Block, kein Präfix oder kein IP-Protokoll angibt, werden alle IP-Adressen oder IP-Protokolle für diese Regel akzeptiert.

Im Folgenden finden Sie ein praktisches Beispiel für die Strukturierung eines Regelsets. Das Ziel ist, dass der gesamte Traffic von 10.1.0.0/16 eingeschlossen ist, mit Ausnahme von 10.1.1.1 (dies ist ausgeschlossen):

  1. Quell-CIDR: 10.1.1.1/32, Ausschließen
  2. Quell-CIDR: 10.1.0.0/16, Einschließen
  3. Quell-CIDR: 10.1.1.0/24, Einschließen

Der Erfassungsfilter wertet jedes Paket im Traffic anhand der Regeln in der definierten Reihenfolge aus. Ein Paket von 10.1.1.1 entspricht der ersten Regel und wird vom gespiegelten Datenverkehr ausgeschlossen. Das Paket wird nicht mit den anderen Regeln im Set abgeglichen. Das Regelset funktioniert ordnungsgemäß.

Wenn die erste Regel auf die dritte Stelle in der angegebenen Reihenfolge verschoben wird, funktioniert das Regelset nicht mehr wie beabsichtigt:

  1. Quell-CIDR: 10.1.0.0/16, Einschließen
  2. Quell-CIDR: 10.1.1.0/24, Einschließen
  3. Quell-CIDR: 10.1.1.1/32, Ausschließen

Da die Erfassungsfilterregeln jedes Paket im Traffic in der definierten Reihenfolge auswerten, stimmt ein Paket von 10.1.1.1 jetzt mit der ersten Regel überein und ist im gespiegelten Traffic enthalten. Weitere Regelauswertungen werden übersprungen. In diesem Beispiel werden CIDR-Blöcke verwendet, Regeln werden jedoch auf die gleiche Weise ausgewertet, unabhängig davon, welchen Quelltyp Sie auswählen.

Weitere Informationen finden Sie unter Erfassungsfilter.

Erweiterte VTAP-Features

VXLAN-Netzwerk-ID (VNI): Geben Sie eine VNI ein, um den VXLAN-Kapselungstunnel eindeutig zu identifizieren. Wenn Sie keine VNI angeben, wird eine VNI automatisch generiert.

Max. Paketgröße: Sie können eine maximale Paketgröße von 64 bis 9000 Byte angeben. Um eine bessere Leistung oder eine effiziente Aufnahme am Ziel zu erzielen, können Sie die gespiegelten Pakete auf eine kleinere Länge kürzen. Ein VTAP funktioniert mit der MTU von 9000 Byte, die auf allen Instanz-NICs festgelegt ist. Aufgrund des Overhead der VTAP-Kapselung (VxLAN) muss die MTU bei Instanz- VNICs, die VTAP-Quellen sind, die Ziel-MTU minus den Overhead der VTAP-Kapselung berücksichtigen. Um zu vermeiden, dass Pakete in erfassten VTAP-Paketen abgeschnitten werden, muss für Quellinstanzschnittstellen die MTU auf 8950 oder niedriger für IPv4 oder 8930 oder niedriger für IPv6 gesetzt sein. Für alle Zielinstanzen müssen die NICs so eingestellt sein, dass sie eine MTU von 9000 Byte verwenden (Standard in Oracle-Standardimages).
Hinweis

Wenn ein VTAP in einer bestimmten unterstützten Quelle aktiviert ist, belegt der durch die Spiegelung von Paketen generierte Overhead eine hohe Netzwerkbandbreite. Die Netzwerkkapazität wird durch die zugrunde liegende Ausprägung der Instanz bestimmt, an die eine VNIC angehängt ist. Auf der VNIC ist ein VTAP implementiert.

Wenn Sie mehr als 30% der verfügbaren vom Service unterstützten Netzwerkbandbreite verwenden und einen VTAP aktivieren möchten, empfehlen wir Ihnen, die zugrunde liegende Serviceausprägung upgraden.

Alternativ können Sie eine kleinere maximale Paketgröße angeben, wenn Sie einen VTAP zur Verwendung einer MTU von 1500 oder weniger konfigurieren, um eine bessere allgemeine Performance und Bandbreitenauslastung zu erreichen.

Bei abgeschnittenen gespiegelten Paketen werden die Paketheaderparameter der Payload wie Länge und Prüfsumme nicht aktualisiert.

Prioritätsmodus: Wenn Sie diese Option verwenden, erhält überwachter und gespiegelter Traffic die gleiche Priorität, wenn die Quelle überlastet ist. Standardmäßig wird der Produktionstraffic vor dem gespiegelten VTAP-Traffic priorisiert. Wenn Sie den Prioritätsmodus aktivieren, erhalten sowohl der überwachte Traffic als auch der gespiegelte VTAP-Traffic die gleiche Priorität. Wenn diese Option ausgewählt ist, kann gespiegelter Traffic dazu führen, dass einiger überwachter Traffic gelöscht wird, wenn die Quelle überlastet ist. Wenn dieser Paketverlust erkannt wird, können Sie entweder den Prioritätsmodus deaktivieren oder die Quellausprägungen upgraden, um Bandbreite freizugeben.

Anforderungen und Vorbereitung

Für die Implementierung eines VTAP sind mindestens eine gültige Quelle und ein gültiges Ziel in demselben VCN erforderlich. Diese Ressourcen müssen vorhanden sein, bevor Sie einen VTAP erstellen. Das Ziel kann sich in einem anderen Subnetz als die Quelle befinden.

Abhängigkeiten

Bei der Arbeit mit VTAPs müssen Sie einige wichtige Abhängigkeiten verstehen:

  • Ein VTAP muss immer über eine Quelle, ein Ziel und einen verknüpften Erfassungsfilter verfügen.
  • Ein Erfassungsfilter muss immer mindestens eine zugeordnete Regel aufweisen.
  • Eine VNIC kann niemals eine Quelle für mehr als einen VTAP sein. Weitere Details finden Sie unter VTAP-Quellen und -Ziele.

Folgende erwartete Verhaltensweisen können angezeigt werden:

  • Sie können keinen VTAP erstellen, ohne eine Quelle und ein Ziel anzugeben und mit einem vorhandenen Erfassungsfilter zu verknüpfen. Sie können bearbeiten, welcher Erfassungsfilter mit dem VTAP verknüpft ist. Die Verwendung eines VTAP, dem kein Erfassungsfilter zugeordnet ist, ist nicht möglich.
  • Sie können keinen Erfassungsfilter löschen, der mit einem VTAP verknüpft ist. Um einen Capture-Filter zu löschen, den ein oder mehrere VTAPs verwenden, müssen Sie diesen VTAPs einen anderen Capture-Filter zuordnen, bevor Sie den Capture-Filter löschen.
  • Sie sind daran gehindert, einen leeren Capture-Filter zu erstellen oder einen Capture-Filter zu bearbeiten, der keine Regeln mehr enthält.
  • Wenn eine VTAP-Quelle oder ein VTAP-Ziel gelöscht wird, wird der VTAP automatisch in den Status STOPPED versetzt. Um einen aus diesem Grund gestoppten VTAP neu zu starten, bearbeiten Sie den VTAP, um eine neue gültige Quelle oder ein neues gültiges Ziel zuzuweisen. Dadurch wird der VTAP wieder in den Status RUNNING versetzt.

Erforderliche IAM Policy

Um Oracle Cloud Infrastructure zu verwenden, muss Ihnen ein Administrator in einer Policy  Sicherheitszugriff erteilen. Dieser Zugriff ist erforderlich, unabhängig davon, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Nachricht erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment  Sie arbeiten sollen.

Für Administratoren: Weitere Informationen finden Sie unter IAM-Policys für Networking.

Limits für IAM-Ressourcen

Eine Liste der jeweiligen Limits und Anweisungen zum Anfordern einer Erhöhung finden Sie unter Servicelimits. Um compartment-spezifische Grenzwerte für eine Ressource oder Ressourcenfamilie festzulegen, können Administratoren Compartment-Quotas verwenden.

Eine Liste der für diesen Service spezifischen Limits finden Sie unter VTAP-Limits.

Validierte Oracle-Partnerlösungen

Einige Mitglieder des Oracle Partner Network (OPN) verfügen über validierte Lösungen im Oracle Marketplace, die mit einem VTAP funktionieren. Sie können diese Lösungen bereitstellen, wenn Sie einen VTAP verwenden, um gespiegelten Traffic an ein Network Load Balancer-Ziel zu senden.

Hinweis

Sie können andere Lösungen mit VTAP verwenden, diese Lösungen werden jedoch von Oracle validiert.