Creación de recursos de red
Para poder crear y utilizar clusters de Big Data Service, debe crear y configurar una red. El servicio Oracle Cloud Infrastructure Networking proporciona una amplia gama de funciones para establecer una topología de red segura para Big Data Service.
Para obtener documentación completa sobre Oracle Infrastructure Networking, consulte Visión general de Networking y los siguientes temas sobre redes de la documentación de Oracle Cloud Infrastructure. En las siguientes secciones, se tratan los detalles de red específicos de Big Data Service.
Terminología
El término red hace referencia a una red virtual en la nube (VCN) o a una subred en una VCN. Cuando la diferencia es pertinente, se utiliza VCN o subred.
La instancia, el host y el nodo se utilizan de forma intercambiable. Sin embargo, como los hosts que componen un cluster de Hadoop se denominan nodos, se utilizan nodos en toda esta documentación.
Comprensión de la red
En OCI, una red consta de al menos una subred (VCN) con al menos una subred, junto con tarjetas de interfaz de red virtual (VNIC), gateways, tablas de rutas, normas de seguridad y otras funciones de red virtual. Para un entorno del desarrollo sencillo, puede que solo necesite una única VCN con una única subred en una sola región, posiblemente con acceso a la red pública de Internet. En el caso de un entorno de producción complejo, es posible que desee conectar la VCN a una red local y que desee realizar intercambios con otras redes virtuales en la nube de otras regiones.
Una red de Big Data Service debe cumplir los requisitos generales para cualquier red de OCI, como se describe en Visión general de Networking y los siguientes temas de redes en la documentación de OCI. Además de esos requisitos, considere la siguiente información específica de Big Data Service:
Creación y utilización de subredes
Las subredes dividen una VCN asignando rangos de direcciones IP que no se solapan con otras subredes de la VCN. Tenga en cuenta lo siguiente al crear la red para Big Data Service:
Una subred debe ser regional y puede ser pública:
-
En OCI, una subred puede existir en un único dominio en una región o dentro de una región completa. Para Big Data Service, se necesita una subred región. Por lo tanto, al crear la VCN para Big Data Service, debe crear al menos una subred regional en la misma.
-
Los nodos de cluster son privados por defecto. Si tiene pensado hacer que se pueda acceder a su cluster desde la red de Internet pública, debe utilizar una subred pública. En ese caso, al crear la VCN, la subred regional que cree (consulte la información anterior) también debe ser pública. Consulte Making Nodes Reachable.
Al crear un cluster, puede especificar qué VCN y qué subred utilizar para el mismo. Consulte Creación de un cluster.
Cómo hacer que los nodos sean accesibles
Como se ha mencionado anteriormente, los nodos de cluster son privados por defecto. Los nodos se crean con direcciones IP privadas y todos los puertos están cerrados por defecto (excepto el puerto 22, que está abierto para el acceso SSH). Por lo tanto, debe configurar la red para permitir el acceso a los nodos.
Configuración de reglas de seguridad para los nodos
Una regla de seguridad permite que un tipo concreto de tráfico entre o salga de una VNIC (que conecta los nodos a la red). Cada regla de seguridad especifica una dirección (entrada o salida), si es una regla con o sin estado, un tipo de origen y un origen (para reglas de entrada), un tipo de destino y un destino (para reglas de salida), un protocolo IP, un puerto de origen, un puerto de destino y un código y un tipo de ICMP.
Para permitir el tráfico de red desde y hacia un nodo de cluster, debe configurar las reglas de seguridad para el nodo. Haga esto en todos los nodos que desee hacer accesibles, ya sea desde una red de Internet pública, una red privada o ambas.
Consulte Definición de reglas de seguridad en esta documentación y Reglas de seguridad en la documentación de Oracle Cloud Infrastructure.
Cómo hacer que se pueda acceder a los nodos desde Internet
- Utilizar una subred pública. Consulte VCN y subredes en la documentación de Oracle Cloud Infrastructure.
- Crear y asignar direcciones IP públicas a las direcciones IP privadas por defecto de los nodos que desea abrir a Internet. Consulte Asignación de una dirección IP privada a una dirección IP pública .
- Configurar reglas de seguridad para permitir el tráfico desde Internet. Consulte Configuring Security Rules for Nodes.
Consulte también Acceso a Internet en la documentación de OCI.
Red de cliente y red privada de cluster
Los clusters de Big Data Service son de doble directorio raíz. Los nodos del cluster están conectados a una red privada de cluster en el arrendamiento de Oracle y a una red de cliente en el arrendamiento.
Acerca de la red privada de cluster
La red privada de cluster es una red virtual en la nube (VCN) que se crea en el arrendamiento de Oracle cuando se crea un cluster. Las características de esta red son las siguientes:
- Al crear un cluster, se le pide que especifique un bloque de CIDR para asignar un rango de direcciones IP para la red. Este bloque de CIDR no puede solapar el bloque de CIDR de la red privada de cliente.
- Las direcciones IP privadas de los nodos de cluster se asignan desde el bloque de CIDR de la subred privada en esta VCN.
-
La red se utiliza exclusivamente para la comunicación privada entre los nodos del cluster. Por ejemplo, procesamiento de datos distribuidos, supervisión de servicios, etc. Por defecto, todos los puertos están abiertos.
- Puede desplegar un gateway de servicio y un gateway de dirección de red en esta red, pero, por lo demás, no puede configurar gateways, tablas de direccionamiento ni listas de seguridad en esta red para controlar el tráfico de red desde y hacia el cluster. Consulte Opciones de gateway de red al crear un cluster a continuación.
Acerca de la red de cliente
La red del cliente se encuentra en el arrendamiento del cliente. La VCN ya debe existir (y debe tener una subred regional) para poder crear un cluster. Los detalles de esta red son los siguientes:
-
Al crear un cluster, se le pide que seleccione una VCN y una subred existentes para asociarlas al cluster.
- La subred que elija para el cluster debe ser una subred regional. Si desea que cualquiera de los nodos esté disponible para el tráfico desde la red de Internet pública, debe elegir una subred pública. Si utiliza una VPN con IPSec u Oracle Cloud Infrastructure FastConnect para conectarse a la red local, puede utilizar una subred privada, pero esto significa que no se permitirá el tráfico a través de la red pública de Internet.
- Puede configurar gateways, tablas de direccionamiento y listas de seguridad en esta red para controlar el tráfico de red desde y hacia el cluster.
- En la VCN del cliente, algunos puertos están abiertos para que los componentes de Hadoop se comuniquen entre sí. Se recomienda cifrar la comunicación de red entre estos puertos mediante algoritmos de cifrado, como AES 256.
Opciones de gateway de red al crear un cluster
- Seleccione Despliegue el gateway de servicio gestionado por Oracle y el gateway de NAT (inicio rápido) para desplegar un gateway de servicio y un gateway de NAT en la red privada de cluster.
- Un gateway de NAT permite a los nodos sin direcciones IP públicas iniciar conexiones y recibir respuestas de Internet, pero no recibir conexiones entrantes que se hayan iniciado desde Internet. Consulte Gateway de NAT.
- Un gateway de servicio permite a los nodos sin direcciones IP públicas acceder de forma privada a los servicios de Oracle, sin exponer los datos a un gateway de Internet o a un gateway de NAT. Consulte Gateway de servicio.
Cuando selecciona esta opción, no puede limitar ese acceso de ninguna manera. Por ejemplo, restringiendo la salida a solo unos pocos rangos de IP. Cuando elige esta opción:
- El gateway de servicio y el gateway de NAT se utilizan para todas las operaciones que se han descrito anteriormente, durante la vida útil del cluster. No podrá cambiarlo cuando haya creado el cluster y se hayan ignorado los gateways de servicio o los gateways de NAT de la red.
- Este gateway de NAT otorga a todos los nodos de la red privada de cluster acceso de salida total a la red pública de Internet.
- No puede restringir más el tráfico que se dirige al gateway de NAT o al gateway de servicio. Por ejemplo, no puede redirigir el tráfico hacia o desde direcciones IP específicas.
-
Seleccione Utilice gateways en la VCN de cliente seleccionada (personalizable) para utilizar un gateway de servicio y un gateway de NAT en la red de cliente.
Cuando elige esta opción:
- Tiene el control completo del direccionamiento del tráfico de red hacia y desde el cluster.
-
Debe crear y configurar los gateways usted mismo. Consulte Gateway de servicio.
Si crea la red mediante uno de los asistentes de creación de redes de la consola, se crearán también algunos gateways, pero es posible que tenga que configurarlos para que se adapten a sus necesidades. Consulte Inicio rápido de redes virtuales.
- Debe crear y configurar reglas de seguridad para restringir el tráfico a través de los gateways.
- Puede cambiar la configuración cuando lo desee.
- Si asigna las direcciones IP privadas de los nodos de cluster a direcciones IP públicas, no se necesita un gateway de NAT. Consulte Asignación de una dirección IP privada a una dirección IP pública.