Oracle Cloud Infrastructure - Dokumentation

Sicherheitsregeln definieren

Ein Administrator muss Sicherheitsregeln konfigurieren, um Netzwerktraffic zu und von Big Data Service-Ressourcen zu kontrollieren.

Hintergrund

In Oracle Cloud Infrastructure stehen zwei Arten von virtuellen Firewalls zur Verfügung, mit denen Sie den Traffic zu und von Ihren Cloud-Ressourcen kontrollieren können. Sicherheitslisten enthalten Sicherheitsregeln, die für ein ganzes Subnetz gelten. Netzwerksicherheitsgruppen enthalten Sicherheitsregeln, die für ein definiertes Set von Ressourcen gelten, die in Gruppen organisiert sind. Netzwerksicherheitsgruppen ermöglichen eine feiner granulierte Kontrolle, während Sicherheitslisten einfacher eingerichtet und verwaltet werden können.

Sicherheitslisten und Netzwerksicherheitsgruppen enthalten Sicherheitsregeln. Eine Sicherheitsregel lässt einen bestimmten Traffictyp zu oder von einer virtuellen Netzwerkkarte (VNIC) zu.

Hinweis

Eine VNIC ist eine Netzwerkkomponente, mit der eine vernetzte Ressource, beispielsweise eine Instanz (ein Knoten in Big Data Service), eine Verbindung zu einem virtuellen Cloud-Netzwerk (VCN) herstellen kann. Die VNIC bestimmt, wie die Instanz mit Endpunkten innerhalb und außerhalb des VCN verbunden wird. Jede VNIC befindet sich in einem Subnetz in einem VCN. Eine Sicherheitsliste definiert ein Set von Sicherheitsregeln, die für alle VNICs in einem Subnetz gelten. Eine Netzwerksicherheitsgruppe definiert ein Set von Sicherheitsregeln, die für eine von Ihnen definierte Gruppe von VNICs gelten.

Machen Sie sich unbedingt mit der Rolle von VNICs in Ihrer Netzwerkarchitektur vertraut. Diese Dokumentation bezieht sich allerdings nur auf die Funktionsweise von Sicherheitsregeln in VCNs und Subnetzen.

Weitere Informationen finden Sie unter Sicherheitsregeln.

Sicherheitsregeln in Sicherheitslisten erstellen

Im Allgemeinen verwendet Big Data Service Sicherheitslisten. Das heißt, dass Sie Sicherheitsregeln für ein Subnetz erstellen und jedes Cluster in diesem Subnetz diesen Regeln unterliegt. In den folgenden Anweisungen wird beschrieben, wie Sie Sicherheitsregeln in einer Sicherheitsliste erstellen, die für das vom Cluster verwendete Subnetz definiert ist.

Eine Sicherheitsliste kann sowohl Ingress-Regeln (für eingehenden Traffic) als auch Egress-Regeln (für ausgehenden Traffic) definieren.

Jede Sicherheitsregel enthält folgende Angaben:
  • Richtung (Ingress oder Egress)
  • zustandsfähig oder zustandslos
  • Quelltyp und Quelle (nur Ingress-Regeln)

Eine vollständige Dokumentation zu Sicherheitsregeln finden Sie unter Elemente einer Sicherheitsregel.

Die folgenden Abschnitte enthalten spezifische Details zum Erstellen von Ingress- und Egress-Regeln für Big Data Service-Cluster.

Ingress-Regeln erstellen (und Ports öffnen)

Sie müssen bestimmte Ports in Big Data Service-Cluster öffnen, um Zugriff auf Services wie Apache Ambari, Hue und JupyterHub zuzulassen. Konfigurieren Sie diese Ports in den Ingress-Sicherheitsregeln, die für ein Cluster gelten.

Informationen zum Erstellen einer Ingress-Regel finden Sie unter Sicherheitsregeln mit dem folgenden Inhalt, der für Big Data Service spezifisch ist:
  1. Legen Sie im Dialogfeld Ingress-Regeln hinzufügen die folgenden Optionen fest, um Port 22 für SSH-Zugriff zu öffnen (falls er nicht bereits geöffnet ist):
    • Zustandslos: Lassen Sie dieses Feld deaktiviert. Dadurch wird die Regel zustandsbehaftet. Das heißt, alle Antworten auf den eingehenden Traffic können an den Ursprungshost geleitet werden, unabhängig von den für die Instanz geltenden Egress-Regeln.
    • Quelltyp: Wählen Sie CIDR aus.
    • Quell-CIDR: Geben Sie 0.0.0.0/0 ein. Das heißt, dass Traffic aus allen Quellen im Internet zulässig ist.
    • IP-Protokoll: Wählen Sie TCP aus.
    • Quellportbereich: Übernehmen Sie den Standardwert Alle.
    • Zielportbereich: Geben Sie 22 ein, um den Zugriff über SSH zuzulassen.
    • Beschreibung: Fügen Sie eine optionale Beschreibung hinzu.
  2. Wählen Sie unten im Dialogfeld die Option +Another Ingress-Regel, und geben Sie die Werte für eine weitere Regel an. Führen Sie diese Maßnahmen so oft wie nötig durch, um alle benötigten Regeln zu erstellen. Wählen Sie dann Ingress-Regeln hinzufügen aus.

    Weitere Informationen zu Portbereichen für Ingress-Regelziele und Regelbeispielen finden Sie unter Portbereiche für Ingress-Regelziel.

Ingress-Regel - Zielportbereiche

Für ein typisches Set von Ingress-Regeln für ein Cluster erstellen Sie Regeln mit den angegebenen Zielportbereichen:
  • SSH: Port 22
  • Apache Ambari: Port 7183
  • Hue: Port 8888
  • JupyterHub: Port 8000
  • Web Resource Manager: Port 8090
  • Spark History Server: Port 18088

Egress-Regeln erstellen

Beim Erstellen eines Clusters können Sie ein NAT-Gateway verwenden. Ob Sie diese Option auswählen, wirkt sich darauf aus, wie Sie ausgehenden Datenverkehr steuern können.

  • Wenn Sie beim Erstellen eines Clusters die NAT-Gatewayoption wählen, erhalten alle Knoten vollständigen Zugriff zum Versand von Daten in das öffentliche Internet. Sie können den Zugriff in keiner Weise einschränken (z.B. indem der Egress nur auf wenige IP-Bereiche beschränkt wird).

  • Wenn Sie beim Erstellen eines Clusters kein NAT-G Gateway erstellen, können Sie im VCN, mit dem Sie auf das Cluster zugreifen, ein NAT-G Gateway erstellen. Außerdem können Sie Policys in diesem NAT-Gateway bearbeiten, um Egress auf bestimmte IP-Bereiche zu begrenzen.

  • Wenn Sie die VM-IPs öffentlichen IPs zuordnen, wird kein NAT-Gateway benötigt.

Informationen zum Erstellen einer Egress-Regel finden Sie unter Sicherheitsregeln.