Documentación de Oracle Cloud Infrastructure

Definición de reglas de seguridad

Un administrador debe configurar reglas de seguridad para controlar el tráfico de red entrante y saliente de los recursos de Big Data Service.

Fondo

En Oracle Cloud Infrastructure, hay dos tipos de firewalls virtuales disponibles para controlar el tráfico desde y hacia los recursos en la nube. Las listas de seguridad incluyen reglas de seguridad que se aplican a una subred completa. Los grupos de seguridad de red incluyen reglas de seguridad que se aplican a un juego definido de recursos que se organizan en grupos. Los grupos de seguridad de red permiten un control más detallado, mientras que las listas de seguridad son más fáciles de configurar y mantener.

Las listas de seguridad y los grupos de seguridad de red ambos incluyen reglas de seguridad. Una regla de seguridad permite que un tipo concreto de tráfico entre o salga de una tarjeta de interfaz de red virtual (VNIC).

Nota

Una VNIC es un componente de red que permite que un recurso en red, como una instancia (un nodo en Big Data Service), se conecte a una red virtual en la nube (VCN). La VNIC determina cómo se conecta la instancia con los puntos finales dentro y fuera de la VCN. Cada VNIC reside en una subred de una VCN. Una lista de seguridad define un conjunto de reglas de seguridad que se aplican a todas las VNIC de una subred. Un grupo de seguridad de red define un conjunto de reglas de seguridad que se aplican a un grupo de VNIC que usted define.

Es importante entender el papel de las VNIC en la arquitectura de red, pero, a efectos de esta documentación, por lo general resulta suficiente consultar cómo funcionan las reglas de seguridad en las VCN y las subredes.

Para obtener más información, consulte Reglas de seguridad.

Creación de reglas de seguridad en listas de seguridad

Normalmente, Big Data Service utiliza listas de seguridad. Esto significa que se crean reglas de seguridad para una subred y que cualquier cluster de esa subred está sujeto a esas reglas. Las siguientes instrucciones indican cómo crear reglas de seguridad en una lista de seguridad definida para la subred que utiliza su cluster.

Una lista de seguridad puede definir tanto reglas de entrada (para tráfico entrante) como reglas de salida (para tráfico saliente).

Cada regla de seguridad especifica:
  • La dirección (entrada o salida)
  • Con o sin estado
  • El tipo de origen y el origen (solo las reglas de entrada)

Para obtener documentación completa sobre las reglas de seguridad, consulte Partes de una regla de seguridad.

Las siguientes secciones contienen detalles específicos sobre la creación de reglas de entrada y de salida para los clusters de Big Data Service.

Creación de reglas de entrada (y puertos abiertos)

Debe abrir determinados puertos en clusters de Big Data Service para permitir el acceso a servicios como Apache Ambari, Hue y JupyterHub. Configure estos puertos en las reglas de entrada de seguridad que se aplican a un cluster.

Para obtener información sobre la creación de una regla de entrada, consulte Reglas de seguridad con el siguiente contenido específico de Big Data Service:
  1. En el cuadro de diálogo Agregar reglas de entrada, defina las siguientes opciones para abrir el puerto 22 para el acceso SSH (si aún no está abierto):
    • Sin estado: deje esta casilla desactivada. Esto hace que sea una regla con estado, lo que significa que cualquier respuesta al tráfico entrante puede volver al host de origen, independientemente de las reglas de salida que se apliquen a la instancia.
    • Tipo de origen: seleccione CIDR.
    • CIDR de origen: introduzca 0.0.0.0/0, que indica que se permite el tráfico de todos los orígenes de Internet.
    • Protocolo IP: seleccione TCP.
    • Rango de puertos de origen: acepte el valor por defectoTodo.
    • Rango de puertos de destino: introduzca 22 para permitir el acceso a través de SSH.
    • Descripción: Agregar una descripción opcional.
  2. En la parte inferior del recuadro de diálogo, seleccione +Another Regla de entrada e introduzca los valores de otra regla. Haga esto tantas veces como sea necesario para crear todas las reglas que necesite y, a continuación, seleccione Agregar reglas que entran.

    Para obtener más información sobre los rangos de puertos de destino de reglas de entrada y ejemplos de reglas, consulte Rangos de puertos de destino de reglas de entrada

Rangos de puertos de destino de regla de entrada

Para un conjunto típico de reglas de entrada para un cluster, cree reglas con los rangos de puertos de destino especificados:
  • SSH (Puerto 22)
  • Apache Ambari: puerto 7183
  • Hue: puerto 8888
  • JupyterHub: puerto 8000
  • Gestor de recursos web: puerto 8090
  • Servidor de historial de Spark: puerto 18088

Creación de reglas de salida

Al crear un cluster, tiene la opción de utilizar un gateway de NAT. Si selecciona esa opción, afecta la forma en que puede controlar el tráfico saliente.

  • Si elige la opción del gateway de NAT al crear un cluster, todos los nodos tendrán acceso de salida total a la red pública de Internet. No puede limitar este acceso de ninguna forma (por ejemplo, restringiendo la salida solo a unos pocos rangos IP).

  • Si opta por no crear un Gateway de NAT al creación de un cluster, puede crear un Gateway de NAT en la VCN que está utilizando para acceder a él. También puede editar políticas en este gateway de NAT para limitar la salida a rangos de IP especificados.

  • Si asigna las IP de VM a las IP públicas, no se necesita un gateway de NAT.

Para obtener más información sobre la creación de una regla de salida, consulte Reglas de seguridad.