Oracle Cloud Infrastructure - Dokumentation

Verbindung zu Clusterknoten mit privaten IP-Adressen herstellen

Standardmäßig werden Clusterknoten private IP-Adressen zugewiesen. Sie sind somit nicht öffentlich im Internet verfügbar. Sie können sie wie in den folgenden Themen beschrieben zur Verfügung stellen:

Private IP-Adressen öffentlichen IP-Adressen zuordnen

Big Data Service-Knoten werden standardmäßig private IP-Adressen zugewiesen, die über das öffentliche Internet nicht zugänglich sind. Eine Möglichkeit, einen Knoten über das Internet zugänglich zu machen, besteht darin, die private IP-Adresse eines Knotens einer öffentlichen IP-Adresse zuzuordnen.

In den nachfolgenden Anweisungen wird die Oracle Cloud Infrastructure-Cloud Shell verwendet, ein browserbasiertes Terminal, auf das Sie über die Oracle Cloud-Konsole zugreifen können. Sie erfassen einige Informationen zu Ihrem Netzwerk und den Clusterknoten und übergeben diese Informationen dann an Befehle in der Shell. Um diese Aufgabe ausführen zu können, muss ein Cluster in einem VCN in Ihrem Mandanten ausgeführt werden. Dieses Cluster muss über ein regionales, öffentliches Subnetz verfügen.

Informationen zum Anzeigen von Clusterinformationen finden Sie unter Details eines Clusters abrufen.

Erforderliche IAM-Berechtigungen für die Zuordnung von privaten IP-Adressen zu öffentlichen IP-Adressen

Achtung

Dies ist eine der Möglichkeiten, eine öffentliche IP-Adresse an einen Knoten anzuhängen. Wir empfehlen jedoch nicht, diese Methode wegen der erhöhten Angriffsrisiken zu verwenden. Es wird empfohlen, eine der anderen Optionen zu verwenden:

Sie benötigen die entsprechenden Berechtigungen für Oracle Infrastructure Identity and Access Management (IAM), um private IP-Adressen öffentlichen IP-Adressen zuzuordnen.

Der Mandantenadministrator oder ein delegierter Administrator mit den entsprechenden Berechtigungen muss eine Policy entsprechend den folgenden Richtlinien erstellen.

Gruppe

Die Policy kann jeder Big Data Service-Gruppe Berechtigungen zuweisen, um Mitgliedern dieser Gruppe die Berechtigungen zum Zuordnen von IP-Adressen zu erteilen.

Berechtigungen

Die Policy muss Policy-Anweisungen mit den folgenden IAM-Berechtigungen enthalten:
  • vnic_read
  • private_ip_read
  • public_ip_read
  • public_ip_delete
  • public_ip_create
  • public_ip_update
  • private_ip_assign_public_ip
  • private_ip_unassign_public_ip
  • public_ip_assign_private_ip
  • public_ip_unassign_private_ip

Ressource

Die Policy muss den Mandanten (tenancy) oder den <compartment_name> des Compartments angeben, das das Subnetz für die IP-Adressen enthält.

Beispiel

allow group bds_net_admins to vnic_read in tenancy
allow group bds_net_admins to private_ip_read in tenancy
allow group bds_net_admins to public_ip_read in tenancy
allow group bds_net_admins to public_ip_delete in tenancy
allow group bds_net_admins to public_ip_create in tenancy 
allow group bds_net_admins to public_ip_update in tenancy 
allow group bds_net_admins to private_ip_assign_public_ip in tenancy 
allow group bds_net_admins to private_ip_unassign_public_ip in tenancy 
allow group bds_net_admins to public_ip_assign_private_ip in tenancy
allow group bds_net_admins to public_ip_unassign_private_ip in tenancy

Private IP-Adresse einer öffentlichen IP-Adresse zuordnen

  1. Wählen Sie in der Cloud-Konsole oben auf dieser Seite das Symbol Cloud Shell Cloud Shell aus. Es kann einige Zeit dauern, bis Sie verbunden und authentifiziert werden.

    1. export DISPLAY_NAME=<display-name>

      export SUBNET_OCID=<subnet-ocid>

      export PRIVATE_IP=<ip-address>

      oci network public-ip create --display-name $DISPLAY_NAME --compartment-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."compartment-id"'` --lifetime "RESERVED" --private-ip-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."id"'`

      Mit den export-Anweisungen werden Variablen festgelegt, die im darauffolgenden oci network-Befehl verwendet werden. Die Variablen sind:

      • <display-name> (optional) ist ein So genannter "benutzerfreundlicher Name", der an die reservierte öffentliche IP-Adresse angehängt ist. Dieser Name ist nicht bereits vorhanden. Er wird bei der Ausführung dieses Befehls erstellt.

        Der Einfachheit halber können Sie den Namen des Knotens verwenden, dessen private IP-Adresse Sie zuordnen möchten. Beispiel: myclusun0, d.h. der Name des ersten Utilityknotens in einem Cluster namens mycluster.

      • <subnet-ocid> ist die OCID des öffentlichen Kundensubnetzes, das vom Cluster verwendet wird. Beispiel: ocid1.subnet.oc1.iad....

      • <ip-address> ist die private IP-Adresse, die dem Knoten zugewiesen ist, den Sie zuordnen möchten. Beispiel: 192.0.2.1.

      Geben Sie den Befehl beginnend mit oci network public-ip create --compartment-id... ein, genau wie oben dargestellt, ohne Zeilenumbrüche.

      Beispiel::

      $ export DISPLAY_NAME="myclustun0"
$ export SUBNET_OCID="ocid1.subnet.oc1.…"
$ export PRIVATE_IP="192.0.2.1"
$ oci network public-ip create --display-name $DISPLAY_NAME --
compartment-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-
address $PRIVATE_IP | jq -r '.data[] | ."compartment-id"'` --lifetime 
"RESERVED" - private-ip-id `oci network private-ip list --subnet-id 
$SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."id"'`
      Folgende Ausgabe wird zurückgegeben:
      { "data": {
    "assigned-entity-id": "ocid1.privateip.oc1...",
    "assigned-entity-type": "PRIVATE_IP",
    "availability-domain": null,
    "compartment-id": "ocid1.compartment.oc1...",
    "defined-tags": {},
    "display-name": "publicip...",
    "freeform-tags": {},
    "id": "ocid1.publicip.oc1....",
    "ip-address": "203.0.113.1",
    "lifecycle-state": "ASSIGNED",
    "lifetime": "RESERVED",
    "private-ip-id": "ocid1.privateip....",
    "scope": "REGION",
    "time-created": "2020-04-13..."
   },
   "etag": "1234abcd" 
}
  2. Suchen Sie in der zurückgegebenen Ausgabe den Wert für ip-address. Im Beispiel oben lautet der Wert 203.0.113.1. Dabei handelt es sich um die neue reservierte öffentliche IP-Adresse, welche der privaten IP-Adresse für den Knoten zugeordnet ist.
  3. Um die reservierte öffentliche IP-Adresse in der Konsole anzuzeigen, wählen Sie das Navigationsmenü Navigationsmenü aus.
  4. Wählen Sie unter Networking die Option Virtuelle Cloud-Netzwerke aus.
  5. Wählen Sie in der Navigationsliste auf der linken Seite unter Networking die Option IP-Management aus.
    Die neue reservierte öffentliche IP-Adresse wird in der Liste Reservierte öffentliche IP-Adressen angezeigt. Wenn Sie einen Anzeigenamen im oben ausgeführten Befehl eingegeben haben, wird dieser Name in die Spalte Name angezeigt. Andernfalls wird ein Name wie z.B. publicipnnnnnnnnn generiert.

Öffentliche IP-Adresse löschen

  1. Wählen Sie in der Cloud-Konsole oben auf dieser Seite das Symbol Cloud Shell Cloud Shell aus. Es kann einige Zeit dauern, bis Sie eine Verbindung herstellen und authentifiziert werden.
  2. Führen Sie oci network public-ip delete --public-ip-id ocid1.publicip.oc1.... aus.

    Der Wert für --public-ip-id wird in der Ausgabe angezeigt, die vom vorherigen Befehl zurückgegeben wird (siehe oben): "id": "ocid1.publicip.oc1....",.

  3. (Optional) Alternativ können Sie in der Cloud-Konsole auf der Seite "Networking" zu Reservierte öffentliche IP-Adressen navigieren und dort reservierte öffentliche IPs löschen.

Ports zur Bereitstellung von Services öffnen

Um einen Service wie Apache Ambari im Internet verfügbar zu machen, reicht es nicht aus, den Knoten öffentlich zugänglich zu machen. Sie müssen auch den Port für den Service öffnen, indem Sie einer Sicherheitsliste eine Ingress-Regel hinzufügen. Siehe Sicherheitsregeln definieren.

Verbindung zu Big Data Service mit einem Bastionhost herstellen

Sie können einen Bastionhost verwenden, um über das öffentliche Internet auf das private Netzwerk eines Clusters zuzugreifen.

Ein Bastionhost ist eine Compute-Instanz, die als öffentlicher Einstiegspunkt für den Zugriff auf ein privates Netzwerk von externen Netzwerken wie dem Internet dient. Der Traffic muss für Zugriff auf das private Netzwerk den Bastionhost durchlaufen, und Sie können Sicherheitsmechanismen für die Bastion einrichten, um diesen Traffic zu verarbeiten. Weitere Informationen finden Sie unter Bastion.

Site-to-Site-VPN von Oracle Cloud Infrastructure verwenden, um eine Verbindung zu Big Data Service herzustellen

Site-to-Site-VPN stellt ein Site-to-Site-IPSec-VPN zwischen Ihrem On-Premise-Netzwerk und Ihrem virtuellen Cloud-Netzwerk (VCN) bereit. Die IPSec-Protokollsuite verschlüsselt den IP-Traffic, bevor die Pakete von der Quelle an das Ziel übertragen werden, und entschlüsselt den Traffic beim Empfang.

Einzelheiten zum Herstellen einer Verbindung zu Big Data Service mit VPN finden Sie unter Site-to-Site-VPN.

Verbindung zu Big Data Service mit Oracle Cloud Infrastructure FastConnect herstellen

Mit FastConnect können Sie auf öffentliche Services in Oracle Cloud Infrastructure zugreifen, ohne das Internet zu verwenden, z.B. Zugriff auf Object Storage oder die Oracle Cloud-Konsole und -APIs. Ohne FastConnect würde der für öffentliche IP-Adressen bestimmte Traffic über das Internet geleitet werden. Mit FastConnect wird der Traffic über Ihre private physische Verbindung geführt.

Einzelheiten zum Verbinden von Big Data Service mit Oracle Cloud Infrastructure FastConnect finden Sie unter Überblick über FastConnect.