Oracle Cloud Infrastructure - Dokumentation

Netzwerkressourcen erstellen

Bevor Sie Big Data Service-Cluster erstellen und verwenden können, müssen Sie ein Netzwerk erstellen und konfigurieren. Der Oracle Cloud Infrastructure Networking-Service bietet eine breite Palette von Features zur Einrichtung einer sicheren Netzwerktopologie für Big Data Service.

Eine vollständige Dokumentation zu Oracle Infrastructure Networking finden Sie unter Networking - Überblick und in den nachfolgenden Themen zu Networking in der Oracle Cloud Infrastructure-Dokumentation. In den folgenden Abschnitten werden Networkingdetails behandelt, die speziell für Big Data Service gelten.

Terminologie

Der Begriff "Netzwerk" bezieht sich auf ein virtuelles Cloud-Netzwerk (VCN) oder ein Subnetz in einem VCN. Wenn der Unterschied relevant ist, wird VCN oder Subnetz verwendet.

Instanz, Host und Knoten werden synonym verwendet. Da die Hosts, aus denen ein Hadoop-Cluster besteht, jedoch als Knoten bezeichnet werden, werden in dieser Dokumentation durchgängig Knoten verwendet.

Erläuterungen zur Vernetzung

In OCI besteht ein Netzwerk aus mindestens einem virtuellen Cloud-Netzwerk (VCN) mit mindestens einem Subnetz sowie virtuellen Netzwerkkarte (VNICs), Gateways, Routentabellen, Sicherheitsregeln und anderen virtuellen Netzwerkfeatures. In einer einfachen Entwicklungsumgebung benötigen Sie unter Umständen nur ein einzelnes VCN mit einem einzelnen Subnetz in einer einzelnen Region, unter Umständen mit Zugriff auf das öffentliche Internet. In einer komplexen Produktionsumgebung möchten Sie das VCN möglicherweise mit einem On-Premise-Netzwerk verbinden und möglicherweise Peering mit anderen VCNs in anderen Regionen ausführen.

Ein für Big Data Service verwendetes Netzwerk muss die allgemeinen Anforderungen für ein OCI-Netzwerk erfüllen, wie in Überblick über Networking und den nachfolgenden Themen zum Networking in der OCI-Dokumentation beschrieben. Beachten Sie neben diesen Anforderungen die folgenden spezifischen Informationen für Big Data Service:

Subnetze erstellen und verwenden

Mit Subnetzen wird ein VCN durch Zuweisen von IP-Adressbereichen unterteilt, die sich nicht mit anderen Subnetzen im VCN überschneiden. Beachten Sie beim Erstellen des Netzwerks für Big Data Service Folgendes:

Ein Subnetz muss regional und kann öffentlich sein:

  • In OCI kann ein Subnetz in einer einzelnen Availability-Domain oder in einer gesamten Region vorhanden sein. Für Big Data Service ist ein regionales Subnetz erforderlich. Wenn Sie das VCN für Big Data Service erstellen, müssen Sie daher mindestens ein regionales Subnetz darin erstellen.

  • Clusterknoten sind standardmäßig privat. Wenn Sie planen, Ihr Cluster für den Zugriff über das öffentliche Internet verfügbar zu machen, müssen Sie ein öffentliches Subnetz verwenden. In diesem Fall muss beim Erstellen des VCN auch das von Ihnen erstellte regionale Subnetz öffentlich sein (siehe oben). Siehe Knoten erreichbar machen.

Sie geben bei der Clustererstellung an, welches VCN und welches Subnetz für ein Cluster verwendet werden sollen. Siehe Cluster erstellen.

Knoten erreichbar machen

Wie oben erwähnt sind Clusterknoten standardmäßig privat. Knoten werden mit privaten IP-Adressen erstellt, und alle Ports sind standardmäßig geschlossen (mit Ausnahme von Port 22, der für den SSH-Zugriff geöffnet ist). Daher müssen Sie das Netzwerk so konfigurieren, dass der Zugriff auf die Knoten zulässig ist.

Sicherheitsregeln für Knoten konfigurieren

Eine Sicherheitsregel lässt einen bestimmten Traffictyp zu oder von einer VNIC (die Knoten mit dem Netzwerk verbindet) zu. Jede Sicherheitsregel enthält folgende Angaben: Richtung (Ingress oder Egress), zustandsbehaftet oder zustandslos, Quelltyp und Quelle (für Ingress-Regeln), Zieltyp und Ziel (für Egress-Regeln), IP-Protokoll, Quellport, Zielport und ICMP-Typ und -Code.

Um Netzwerktraffic zu und von einem Clusterknoten zuzulassen, müssen Sie die Sicherheitsregeln für den Knoten konfigurieren. Führen Sie diese Aktion für alle Knoten aus, die Sie erreichbar machen möchten, sei es über das öffentliche Internet, über ein privates Netzwerk oder beides.

Informationen hierzu finden Sie unter Sicherheitsregeln festlegen in dieser Dokumentation und in der Oracle Cloud Infrastructure-Dokumentation unter Sicherheitsregeln.

Knoten über das Internet zugänglich machen

Um Knoten über das Internet öffentlich zugänglich zu machen, müssen Sie:

Siehe auch Zugriff auf das Internet in der OCI-Dokumentation.

Kundennetzwerk und privates Clusternetzwerk

Big Data Service-Cluster sind mit doppelten Homes ausgestattet. Die Knoten des Clusters sind sowohl mit einem privaten Clusternetzwerk im Oracle-Mandanten als auch mit einem Kundennetzwerk im Mandanten verbunden.

Privates Clusternetzwerk

Das private Clusternetzwerk ist ein virtuelles Cloud-Netzwerk (VCN). Es wird bei der Erstellung eines Clusters im Oracle-Mandanten erstellt. Dieses Netzwerk besitzt folgende Eigenschaften:

  • Wenn Sie ein Cluster erstellen, werden Sie aufgefordert, einen CIDR-Block anzugeben, um einen Bereich von IP-Adressen für das Netzwerk zuzuweisen. Dieser CIDR-Block darf sich nicht mit dem CIDR-Block des privaten Kundennetzwerks überschneiden.
  • Die privaten IP-Adressen der Clusterknoten werden aus dem CIDR-Block des privaten Subnetzes in diesem VCN zugewiesen.

  • Das Netzwerk wird ausschließlich für die private Kommunikation zwischen den Knoten des Clusters verwendet. Beispiel: Verteilte Datenverarbeitung, Serviceüberwachung usw. Alle Ports sind standardmäßig geöffnet.

  • Sie können ein Servicegateway und ein NAT-Gateway in diesem Netzwerk bereitstellen. Sie können aber ansonsten keine Gateways, Routingtabellen oder Sicherheitslisten in diesem Netzwerk konfigurieren, um den Netzwerktraffic zu und aus Ihrem Cluster zu kontrollieren. Siehe Netzwerkgatewayoptionen beim Erstellen eines Clusters.

Kundennetzwerk

Das Kundennetzwerk befindet sich im Kundenmandanten. Das VCN muss bereits vorhanden sein (und muss ein regionales Subnetz enthalten), bevor ein Cluster erstellt werden kann. Details zu diesem Netzwerk:

  • Wenn Sie ein Cluster erstellen, werden Sie aufgefordert, ein vorhandenes VCN und Subnetz auszuwählen, das mit dem Cluster verknüpft werden soll.

  • Das Subnetz, das Sie für das Cluster auswählen, muss ein regionales Subnetz sein. Wenn Sie einen der Knoten für Traffic aus dem öffentlichen Internet verfügbar machen möchten, müssen Sie ein öffentliches Subnetz auswählen. Wenn Sie über IPsec-VPN oder über Oracle Cloud Infrastructure FastConnect eine Verbindung zu Ihrem On-Premise-Netzwerk herstellen, können Sie ein privates Subnetz verwenden. Das bedeutet allerdings, dass Traffic über das öffentliche Internet nicht zulässig ist.
  • Sie können Gateways, Routingtabellen und Sicherheitslisten in diesem Netzwerk konfigurieren, um den Netzwerktraffic zu und aus dem Cluster zu kontrollieren.
  • In Ihrem Kunden-VCN sind einige Ports für die Kommunikation zwischen Hadoop-Komponenten geöffnet. Es wird empfohlen, die Netzwerkkommunikation zwischen diesen Ports mit Verschlüsselungsalgorithmen wie AES 256 zu verschlüsseln.

Netzwerkgatewayoptionen beim Erstellen eines Clusters

Wenn Sie ein Cluster erstellen, müssen Sie eine dieser beiden Optionen auswählen:
  • Wählen Sie Stellen Sie ein von Oracle verwaltetes Servicegateway und NAT-Gateway bereit (Schnellstart) aus, um ein Servicegateway und ein NAT-Gateway im privaten Clusternetzwerk bereitzustellen.
    • Mit einem NAT-Gateway können Knoten ohne öffentliche IP-Adressen Verbindungen zum Internet herstellen und Antworten aus dem Internet empfangen. Sie können allerdings keine eingehenden Verbindungen aus dem Internet empfangen. Siehe NAT-Gateway.
    • Mit einem Servicegateway können Knoten ohne öffentliche IP-Adressen privat auf Oracle-Services zugreifen, ohne die Daten für ein Internetgateway oder ein NAT-Gateway sichtbar zu machen. Siehe Servicegateway.

    Wenn Sie diese Option auswählen, können Sie diesen Zugriff in keiner Weise einschränken. Beispiel: Sie beschränken den Egress-Traffic auf nur wenige IP-Bereiche. Wenn Sie diese Option auswählen, gilt Folgendes:

    • Das Servicegateway und das NAT-Gateway werden für alle oben beschriebenen Vorgänge für die Lebensdauer des Clusters verwendet. Nachdem das Cluster erstellt und Servicegateways oder NAT-Gateways im Netzwerk ignoriert wurden, können sie nicht mehr geändert werden.
    • Dieses NAT-Gateway erteilt allen Knoten im privaten Clusternetzwerk vollständigen ausgehenden Zugriff auf das öffentliche Internet.
    • Sie können den Traffic, der an das NAT-Gateway oder das Servicegateway geleitet wird, nicht weiter einschränken. Beispiel: Sie können den Traffic nicht zu oder von bestimmten IP-Adressen umleiten.

  • Wählen Sie Verwenden Sie die Gateways im ausgewählten Kunden-VCN (Anpassbar) aus, um ein Servicegateway und ein NAT-Gateway in Ihrem Kundennetzwerk zu verwenden.

    Wenn Sie diese Option auswählen, gilt Folgendes:

    • Sie haben die vollständige Kontrolle über das Routing des Netzwerktraffics zu und von Ihrem Cluster.

    • Sie müssen die Gateways selbst erstellen und konfigurieren. Siehe Servicegateway.

      Wenn Sie das Netzwerk mit einem der Netzwerkerstellungsassistenten in der Konsole erstellen, werden einige Gateways für Sie erstellt. Sie müssen diese jedoch möglicherweise entsprechend Ihren Anforderungen konfigurieren. Siehe Virtuelle Netzwerke - Schnellstart.

    • Sie müssen Sicherheitsregeln erstellen und konfigurieren, um den Traffic über die Gateways einzuschränken.
    • Sie können die Konfiguration jederzeit ändern.
    • Wenn Sie die privaten IP-Adressen der Clusterknoten öffentlichen IP-Adressen zuordnen, ist kein NAT-Gateway erforderlich. Siehe Private IP-Adressen öffentlichen IP-Adressen zuordnen.