Netzwerkport- und -protokollmatrix
Für Compute Cloud@Customer müssen Zugriffsberechtigungen für bestimmte IP-Adressen, Ports und Protokolle erteilt werden.
Die standardmäßige Sicherheitslage für fast alle Firewalls besteht darin, den Zugriff zu verweigern. Dies gilt für die Firewalls, die zwischen dem Compute Cloud@Customer-Rack und dem Kunden-Data Center verwendet werden.
Damit bestimmte Compute Cloud@Customer-Features korrekt ausgeführt werden können, muss der Zugriff für bestimmte IP-Adressen und zugehörige Services erteilt werden. Eine "Alle zulassen"-Regel wie 0.0.0.0/0 ist aus Sicherheitsgründen zu breit gefächert. Daher wird empfohlen, Adressen, Ports und Protokolle explizit aufzulisten, um dies zu ermöglichen.
Compute Cloud@Customer wird für verschiedene Zwecke mit Verbindungen zu verschiedenen Netzwerken installiert (siehe Netzwerkanforderungen der Kundensite). Aus Sicherheitsgründen isoliert Compute Cloud@Customer das Administrationsnetzwerk vom Kundendatennetzwerk.
Während der Installation von Compute Cloud@Customer konfiguriert Oracle die isolierten Netzwerke und konfiguriert gemeinsam mit Ihrem Netzwerkadministrator die Netzwerkports so, dass sie in Ihrer Umgebung funktionieren.
In der folgenden Tabelle sind die Zugriffsberechtigungen für bestimmte IP-Adressen, Ports und Protokolle aufgeführt, die für die Data Center- und Admin-Netzwerkisolation erteilt werden.
Tabellenschlüssel:
- Kunde - Kundenadministratorzugriff für die Compute Cloud@Customer-Ressourcenverwaltung
- Oracle – Oracle-Administratorzugriff, auf den Oracle nur zugreifen kann, wenn der Kunde über Oracle Operator Access Control Zugriff erhält.
| Quell-IP-Adresse |
Ziel-IP-Adresse |
Port |
Protokoll |
Beschreibung |
|---|---|---|---|---|
| Alle Kundennetzwerke | Kunden-VIP | ICMP | Typ 0/Echoantwort | |
| Oracle-Administratoren | Oracle VIP | ICMP | Typ 0/Echoantwort | |
| Alle Kundennetzwerke | Managementknoten | ICMP | Typ 0/Echoantwort | |
| Alle Kundennetzwerke | Objektspeicher-IP | ICMP | Typ 0/Echoantwort | |
| Alle Kundennetzwerke | Kunden-VIP | ICMP | Typ 3/Nicht erreichbar | |
| Oracle-Administratoren | Oracle VIP | ICMP | Typ 3/Nicht erreichbar | |
| Alle Kundennetzwerke | Managementknoten | ICMP | Typ 3/Nicht erreichbar | |
| Alle Kundennetzwerke | Objektspeicher-IP | ICMP | Typ 3/Nicht erreichbar | |
| Alle Kundennetzwerke | Kunden-VIP | ICMP | Typ 8/Ping zu VIP | |
| Oracle-Administratoren | Oracle VIP | ICMP | Typ 8/Ping zu VIP | |
| Oracle-Administratoren | Managementknoten | ICMP | Typ 8/ping zum Knoten | |
| Alle Kundennetzwerke | Objektspeicher-IP | ICMP | Typ 8/Ping zu VIP | |
| Oracle-Administratoren | Oracle VIP | 22 | TCP | SSH zu aktivem Managementknoten |
| Oracle-Administratoren | Managementknoten | 22 | TCP | SSH zu bestimmtem Managementknoten |
| DNS-IPs für Erstinstallation | Kunden-VIP | 53 | UDP | Autorisierende Zonen |
| DNS-IPs für Erstinstallation | Kunden-VIP | 53 | TCP | Autorisierende Zonen |
| DNS-IPs für Erstinstallation | Oracle VIP | 53 | UDP | Administrative Zone |
| Erstinstallation von AdminDNS IPs | Oracle VIP | 53 | TCP | Administrative Zone |
| Managementknoten | DNS-IPs für Erstinstallation | 53 | UDP | Externe DNS-Auflösung für Datennetzwerk |
| Managementknoten | DNS-IPs für Erstinstallation | 53 | TCP | Externe DNS-Auflösung für Datennetzwerk |
| Managementknoten | Erstinstallation von AdminDNS IPs | 53 | UDP | Externe DNS-Auflösung für Admin-Netzwerk |
| Managementknoten | Erstinstallation von AdminDNS IPs | 53 | TCP | Externe DNS-Auflösung für Admin-Netzwerk |
| Oracle-Administratoren | Oracle VIP | 443 | TCP | Oracle API-Endpunkte und BUI |
| Alle Compute Cloud@Customer-Benutzer | Kunden-VIP | 443 | TCP | Compute Cloud@Customer-API-Endpunkte und BUI |
| Alle Compute Cloud@Customer-Benutzer | Kunden-VIP | 8.079 | TCP | Image-Download-Repository |
| Oracle-Administratoren | Oracle VIP | 30.006 | TCP | Admin-CLI |
| Oracle-Administratoren | Managementknoten | 30.006 | TCP | Admin-CLI |
| Kunden-VIP | DNS-rekursive Server | 53 | UDP | DNS-Weiterleitung |
| Kunden-VIP | DNS-rekursive Server | 53 | TCP | DNS-Weiterleitung |
| Oracle VIP | DNS-rekursive Server | 53 | UDP | DNS-Weiterleitung |
| Oracle VIP | DNS-rekursive Server | 53 | TCP | DNS-Weiterleitung |
| Oracle VIP | Kunden-NTP-Server | 123 | UDP | NTP |
| Oracle VIP | Normalerweise transport.oracle.com | 443 | TCP | ASR-Ziele |
| Oracle VIP | Oracle Grafana-Benachrichtigungsziele | 443 | TCP | Grafana-Benachrichtigungsziele |
| Oracle VIP | Oracle Local ULN Mirror | 443 | TCP | Patchen |
| Kunden-VIP | Lokales Image-Repository | 443 | TCP | Benutzerdefinierter Imageimport aus Objekt-uri |
| Managementknoten | Öffentliche Load Balancer-IP-Adresse | 6.443 | TCP | Load Balancer - Endpunkt der öffentlichen IP-Adresse |
|
Alle Kundennetzwerke |
Instanzkonsole | 1.443 | TCP | Instanzkonsolenverbindungen |