Oracle Cloud Infrastructure-Dokumentation

Erforderliche VCN-Sicherheitsregeln

Bevor Sie ein File Storage with Lustre-Dateisystem erstellen und mounten können, müssen Sie Sicherheitsregeln konfigurieren, um Traffic zum Dateisystem über bestimmte Protokolle und Ports zuzulässig zu machen. Ein Lustre-Dateisystem erfordert Konnektivität zwischen den Hosts und Konnektivität mit dem Client.

Lustre verwendet das LNet-Protokoll und Netzwerktreiber für die Kommunikation über verschiedene Netzwerktypen. Standardmäßig verwendet File Storage with Lustre einen Treiber, der TCP-Port 988 zum Erstellen von Verbindungen verwendet.

Betriebssystem-Firewalls

Ein Lustre-Client, der unter Oracle Linux oder Ubuntu installiert ist, unterliegt den lokalen Firewalls dieser Betriebssysteme. Stellen Sie zusätzlich zu den folgenden VCN-Sicherheitsregeln sicher, dass BS-Firewalls den Traffic auf TCP-Port 988 nicht blockieren. Lustre-Clients verwenden den Port, um zu sprechen und zu hören, so dass der Port für bidirektionale Kommunikation geöffnet sein muss.

Um die Konnektivität zu testen, kann eine lokale Firewall vorübergehend gestoppt und ihre Regeln geleert werden, um Interferenzen mit dem Lustre-Client zu vermeiden. Befolgen Sie stets Best Practices für die Sicherheit. Wenden Sie sich an den Support, wenn Sie Fragen haben.

Option 1: Client und Lustre in verschiedenen Subnetzen

In diesem Szenario befindet sich das Dateisystem in einem anderen Subnetz als der Client. Sicherheitsregeln müssen sowohl für das Dateisystem als auch für den Client in einer Sicherheitsliste für jedes Subnetz oder einer Netzwerksicherheitsgruppe (NSG) für jede Ressource konfiguriert werden.

Richten Sie die folgenden Sicherheitsregeln für das Lustre-Dateisystem ein:

  • Zustandsbehafteter Ingress von Client- und Lustre-Subnetz-CIDR-Quellports 512-1023 zum Zielport 988, TCP-Protokoll.
  • Zustandsbehafteter Egress-Traffic von den Quellports 512-1023 zu Lustre und dem CIDR-Port 988 des Clientsubnetzes, TCP-Protokoll.

Als Nächstes richten Sie die folgenden Sicherheitsregeln für den Client ein:

  • Zustandsbehafteter Ingress von Lustre-Subnetz-CIDR-Quellports 512-1023 zum Zielport 988, TCP-Protokoll.
  • Zustandsbehafteter Egress-Traffic von den Quellports 512-1023 zum Lustre-Subnetz-CIDR-Port 988, TCP-Protokoll.

Option 2: Client und Lustre im selben Subnetz

In diesem Szenario befindet sich das Dateisystem im selben Subnetz wie der Client. Sicherheitsregeln müssen in einer Sicherheitsliste für jedes Subnetz oder einer Netzwerksicherheitsgruppe (NSG) für jede Ressource konfiguriert werden:

  • Zustandsbehafteter Ingress von Subnetz-CIDR-Quellports 512-1023 zum Zielport 988, TCP-Protokoll.
  • Zustandsbehafteter Egress-Traffic von den Quellports 512-1023 zum Subnetz-CIDR-Port 988, TCP-Protokoll.

Möglichkeiten zum Aktivieren von VCN-Sicherheitsregeln

Der Networking-Service bietet zwei virtuelle Firewallfeatures, die beide Sicherheitsregeln verwenden, um den Datenverkehr auf Paketebene zu steuern. Die beiden Features sind:

  • Netzwerksicherheitsgruppen (NSGs), empfohlen: Ein nachträgliches Feature, das für Anwendungskomponenten entwickelt wurde, die unterschiedliche Sicherheitsstatus aufweisen. Erstellen Sie eine NSG mit den erforderlichen Regeln, und fügen Sie das Dateisystem dann der NSG hinzu. Alternativ können Sie die erforderlichen Regeln einer zuvor vorhandenen NSG hinzufügen und das Dateisystem der NSG hinzufügen. Jedes Dateisystem kann bis zu fünf (5) NSGs angehören.
  • Sicherheitslisten: Das ursprüngliche Feature einer virtuellen Firewall aus dem Networking-Service. Wenn Sie ein VCN erstellen, wird auch eine Standardsicherheitsliste erstellt. Fügen Sie die erforderlichen Regeln zur Sicherheitsliste für das Subnetz hinzu, das das Dateisystem enthält.
Wichtig

Sie können NSGs allein, Sicherheitslisten allein oder beides zusammen verwenden. Dies hängt von Ihren spezifischen Sicherheitsanforderungenab. Wenn Sie Sicherheitslisten und Netzwerksicherheitsgruppen verwenden, umfasst das Regelset, das für eine bestimmte VNIC gilt, die Kombination dieser Elemente:

  • Die Sicherheitsregeln in den Sicherheitslisten, die mit dem Subnetz der VNIC verknüpft sind
  • Die Sicherheitsregeln in allen NSGs, in denen die VNIC enthalten ist

Es spielt keine Rolle, welches Verfahren Sie für das Anwenden von Sicherheitsregeln auf die VNIC des Dateisystems verwenden, solange die Ports oder Protokolle, welche für File Storage with Lustre erforderlich sind, in den angewendeten Regeln ordnungsgemäß konfiguriert werden.

Weitere Informationen, Beispiele und Szenarios zur Interaktion dieser Features in Ihrem Netzwerk finden Sie unter Sicherheitsregeln, Sicherheitslisten und Netzwerksicherheitsgruppen. Networking - Überblick enthält allgemeine Informationen zum Networking.