Gespiegelten Netzwerkverkehr in OCI Object Storage archivieren

Oracle Cloud Infrastructure Virtual Test Access Point (VTAP) ist ein Spiegelungsservice für Netzwerktraffic, der eine Kopie Ihres Netzwerktraffics aus einer angegebenen Quelle erfasst, Filter anwendet, um sich auf relevante Daten zu konzentrieren, und ihn zur Analyse an ein Ziel sendet. Auf diese Weise können Sie die Fehlerbehebung im Netzwerk, die Sicherheitsüberwachung, die Netzwerkperformanceanalyse und das Complianceauditing verbessern.

Architektur

Diese Architektur zeigt, wie Sie mit Oracle Cloud Infrastructure (OCI) Ihren gespiegelten Traffic von VTAP zu OCI Object Storage archivieren können.

Die Archivierung des Netzwerkverkehrs kann aus Compliance-Gründen erforderlich sein. Außerdem hat die Archivierung Ihres Netzwerkverkehrs Vorteile bei der Behebung schwer fassbarer oder intermittierender Netzwerkprobleme. Sie können die Netzwerkerfassung von vergangenem Produktionstraffic nach Bedarf selektiv analysieren.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung der Abbildung oci-vtap-archiver.png

oci-vtap-archiver-oracle.zip

Zur Veranschaulichung befindet sich ein einfacher HTTP-Webserver in einem öffentlichen Subnetz mit seinen Clients im ersten privaten Subnetz. Die Clients verwenden den HTTP GET-Befehl curl, um Dateien vom HTTP-Dateiserver herunterzuladen. Diese Clients werden in dieser Abbildung als VTAP-Quellen eingerichtet. Wir spiegeln nur den HTTP-Traffic mit VTAP. Der OCI Network Load Balancer empfängt den gespiegelten Traffic vom VTAP und verteilt ihn auf seine Backend-Serverknoten. Diese Backend-Knoten laden dann die Netzwerkerfassung in OCI Object Storage hoch. Möglicherweise können Webserver oder eine Datenbankinstanz als Quelle für das VTAP-Setup in Ihrer Umgebung verwendet werden. Der Rest des Designs bleibt in der Regel in Ihrer Implementierung gleich.

Die vertikalen gepunkteten Linien zwischen den folgenden Komponenten geben an, dass zusätzliche VTAP-Abläufe konfigurierbar sind: Client 1 bis Client #n, der als VTAP-Quellen fungiert, und VTAP Sink 1 bis VTAP Sink #m, Knoten, die eine Archivierung in OCI Object Storage durchführen.

Die Terraform-Konfiguration erstellt ein VCN mit den folgenden drei Subnetzen:

• Öffentliches Subnetz: Enthält einen einzelnen Host, der sowohl als HTTP-Dateiserver als auch als Jumpbox für den Zugriff auf Knoten in den beiden privaten Subnetzen fungiert. Möglicherweise benötigen Sie einen Jumpbox- oder Bastionserver in einem öffentlichen Subnetz in Ihrer Produktionsumgebung, um auf Knoten in einem privaten Subnetz zur Fehlerbehebung oder zu anderen Wartungszwecken zuzugreifen.
• Privates Subnetz: Hosts-Knoten, die eine Dummy-Datei vom HTTP-Dateiserver herunterladen, um HTTP-Traffic zu erstellen. Diese Knoten fungieren als Quellen für den VTAP, und ihr Traffic wird vom VTAP mit einem entsprechenden Erfassungsfilter gespiegelt. Diese Knoten werden als VTAP-Quellknoten bezeichnet. Jeder VTAP-Quellknoten verfügt über einen eigenen separaten VTAP.
• Privates Subnetz: Enthält einen Network Load Balancer (NLB), der als Ziel für die VTAPs fungiert. OCI Flexible Network Load Balancer verfügt über Backend-Knoten, die den VTAP-Traffic als pcap-Dateien erfassen und in einem Bucket archivieren. Diese Knoten werden als VTAP Sink-Knoten bezeichnet. Die VTAP-Sinkknoten und NLB befinden sich in demselben privaten Subnetz.

VTAP ist mit einem Erfassungsfilter konfiguriert, um nur den Netzwerktraffic von HTTP GET-Anforderungen zu erfassen, die von diesen VTAP-Quellen an den HTTP-Dateiserver in unserem öffentlichen Subnetz ausgelöst werden. Der VTAP wird auf der primären VNIC der VTAP-Quellknoten festgelegt.

Sie können die Region und das Compartment für Ihr Deployment auswählen. Alle Ressourcen werden in der angegebenen Region und im angegebenen Compartment erstellt. Der OCI Object Storage-Bucket zur Archivierung der pcap-Dateien wird ebenfalls erstellt.

Die Architektur umfasst die folgenden Komponenten:

• Region

  Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der mindestens ein Data Center enthält, das als Availability-Domain bezeichnet wird. Regionen sind unabhängig von anderen Regionen, und große Entfernungen können sie trennen (über Länder oder sogar Kontinente).

• Virtuelles Cloud-Netzwerk (VCN) und Subnetze

  Ein VCN ist ein anpassbares, softwaredefiniertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten können. Wie herkömmliche Data Center-Netzwerke erhalten Sie mit VCNs die Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

• VTAP

  Mit einem Virtual Test Access Point (VTAP) können Sie Traffic von einer angegebenen Quelle zu einem ausgewählten Ziel spiegeln, um die Fehlerbehebung, die Sicherheitsanalyse und das Datenmonitoring zu erleichtern.

• Network Load Balancer (NLB)

  OCI Flexible Network Load Balancer bietet eine automatisierte Trafficverteilung von einem Einstiegspunkt an mehrere Server in einem Backend-Set. Die Network Load Balancer stellen die Verfügbarkeit der Services sicher, indem Traffic nur an fehlerfreie Server basierend auf Layer 3/Layer 4-Daten (IP-Protokoll) weitergeleitet wird. Hier verwenden wir OCI Flexible Network Load Balancer, um den VXLAN-UDP-Traffic auf VTAP-Sink-Knoten auszugleichen.

• Object Storage

  Mit Oracle Cloud Infrastructure Object Storage können Sie schnell auf große Mengen an strukturierten und unstrukturierten Daten eines beliebigen Inhaltstyps zugreifen, darunter Datenbankbackups, Analysedaten und umfangreiche Inhalte, wie Bilder und Videos. Sie können Daten sicher und geschützt speichern und dann direkt aus dem Internet oder aus der Cloud-Plattform abrufen. Sie können den Speicher skalieren, ohne dass die Performance oder Servicezuverlässigkeit beeinträchtigt wird. Verwenden Sie Standardspeicher für "guten" Speicher, auf den Sie schnell, sofort und häufig zugreifen müssen. Verwenden Sie Archivspeicher für "Cold Storage", den Sie über lange Zeiträume beibehalten und auf den Sie nur selten zugreifen.

• Servicegateway

  Das Servicegateway bietet Zugriff von einem VCN auf andere Services, wie Oracle Cloud Infrastructure Object Storage. Der Traffic vom VCN zum Oracle-Service wird über die Oracle-Netzwerkstruktur geleitet und durchläuft nicht das Internet.

• Internetgateway

  Das Internetgateway ermöglicht Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt. Ihre Anforderungen können von der hier beschriebenen Architektur abweichen.

• VCN

  Wenn Sie ein VCN erstellen, bestimmen Sie die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen, die Sie an Subnetze im VCN anhängen möchten. Verwenden Sie CIDR-Blöcke, die sich innerhalb des privaten IP-Standardadressraums befinden.

  Wählen Sie CIDR-Blöcke aus, die sich nicht mit einem anderen Netzwerk (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, zu dem Sie private Verbindungen einrichten möchten.

  Nachdem Sie ein VCN erstellt haben, können Sie die CIDR-Blöcke ändern, hinzufügen und entfernen.

  Berücksichtigen Sie beim Entwerfen der Subnetze Ihren Trafficfluss und Ihre Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Ebene oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze dienen kann.

  Verwenden Sie regionale Subnetze.

• Network Load Balancer-Verbindungslimits

  OCI L3/L4 Network Load Balancer ist ein kostenloser Service und skaliert dynamisch basierend auf dem Traffic. Network Load Balancer können standardmäßig 330.000 nebenläufige Verbindungen pro Availability-Domain (AD) verarbeiten. Standardmäßig können Network Load Balancer in drei AD-Regionen maximal eine Million nebenläufige Verbindungen verarbeiten.

• Sicherheitslisten

  Mit Sicherheitslisten können Sie Ingress- und Egress-Regeln definieren, die für das gesamte Subnetz gelten.

• Netzwerksicherheitsgruppen (NSGs)

  Mit NSGs können Sie eine Gruppe von Ingress- und Egress-Regeln definieren, die für bestimmte VNICs gelten. Wir empfehlen die Verwendung von NSGs und nicht von Sicherheitslisten, da NSGs es Ihnen ermöglichen, die Subnetzarchitektur des VCN von den Sicherheitsanforderungen Ihrer Anwendung zu trennen.

• Einzelheiten zum Erfassungsfilter finden Sie in der Datei vtap.tf in GitHub.
• Einzelheiten zur Konfiguration von tcpdump und zur Entkapselung von VXLAN-verkapseltem gespiegeltem Datenverkehr finden Sie in der Datei cloud_init/vtap_sink.yml.

Hinweise

Beachten Sie bei der Implementierung dieser Lösung Folgendes:

• Internetprotokollverkehr

  Diese Lösung wird nur für IPv4-Traffic entwickelt und getestet.

• Berechtigungen

  Sie benötigen die erforderlichen Oracle Cloud Infrastructure Identity and Access Management-Berechtigungen für das ausgewählte Compartment und die ausgewählte Region, um alle erforderlichen OCI-Ressourcen für dieses Deployment zu erstellen.

• Konfigurierbare Parameter

  Informationen zum Anzeigen aller konfigurierbaren Parameter finden Sie in der Datei variables.tf.

• VTAP-Quellen und -Regeln
  • Ein VTAP muss immer über eine Quelle, ein Ziel und einen verknüpften Erfassungsfilter verfügen.
  • Ein Erfassungsfilter muss immer mindestens eine zugeordnete Regel aufweisen.
  • Eine VNIC kann niemals eine Quelle für mehr als einen VTAP sein.

Stellen Sie

Laden Sie den Code von GitHub herunter, passen Sie ihn an, und stellen Sie ihn bereit. Terraform richtet alle Ressourcen ein, die in Ihrem OCI-Mandanten erforderlich sind.

Sie können das Deployment mit einem Klick mit OCI Resource Manager verwenden oder Code herunterladen, um es von einem lokalen Entwicklungsrechner bereitzustellen.

Die Links sind unter GitHub verfügbar.

1. Gehen Sie zu GitHub.
2. Der Abschnitt "Bereitstellen" des README-Dokuments wird angezeigt.
3. Befolgen Sie die Anweisungen im README-Dokument.

Mehr erfahren

Weitere Informationen zur Oracle Cloud Infrastructure und zur Netzwerkspiegelung:

Prüfen Sie diese zusätzlichen Ressourcen:

• Virtuelle TAPs (OCI-Dokumentation)
• VTAP-Quellen und -Ziele (OCI-Dokumentation)
• VCN-Flowlogs (OCI-Dokumentation)
• Oracle Cloud Infrastructure-Dokumentation
• Best Practice Framework für Oracle Cloud Infrastructure
• Oracle Cloud Kostenschätzer
• Framework zur Cloud-Einführung

Danksagungen

• Autor: Mayur Raleraskar