Documentación de Oracle Cloud Infrastructure

Reglas de seguridad de VCN necesarias

Antes de crear y montar un almacenamiento de archivos con un sistema del archivo Lustre, debe configurar reglas de seguridad para permitir que el tráfico al sistema del archivo utilice protocolos y puertos específicos. Un sistema de archivos Lustre requiere conectividad entre sus hosts y conectividad con el cliente.

Lustre utiliza el protocolo LNet y los controladores de red para comunicarse a través de diferentes tipos de redes. Por defecto, File Storage with Lustre utiliza un controlador que utiliza el puerto TCP 988 para crear conexiones.

Firewalls de SO

Un cliente Lustre instalado en Oracle Linux o Ubuntu está sujeto a los firewalls locales de esos sistemas operativos. Además de las siguientes reglas de seguridad de la VCN, asegúrese de que los firewalls del sistema operativo no bloqueen el tráfico en el puerto TCP 988. Los clientes de Lustre utilizan el puerto para hablar y escuchar, por lo que el puerto debe estar abierto para la comunicación bidireccional.

Para probar la conectividad, se puede detener temporalmente un firewall local y vaciar sus reglas para evitar interferencias con el cliente Lustre. Siga siempre las mejores prácticas de seguridad. Póngase en contacto con los Servicios de Soporte si tiene alguna pregunta.

Opción 1: Cliente y brillo en distintas subredes

En este escenario, el sistema de archivos está en una subred diferente a la del cliente. Las reglas de seguridad se deben configurar para tanto para el sistema de archivos como para el cliente en una lista de seguridad para cada subred, o bien en un grupo del servicio de seguridad (NSG) para cada recurso.

Configure las siguientes reglas de seguridad para el sistema de archivos Lustre:

  • Entrada con estado desde los puertos de origen CIDR de cliente y subred Lustre 512-1023 al puerto de destino 988, protocolo TCP.
  • Salida con estado de los puertos de origen 512-1023 a Lustre y el puerto CIDR de la subred del cliente 988, protocolo TCP.

A continuación, configure las siguientes reglas para el cliente:

  • Entrada con estado desde los puertos de origen CIDR de la subred Lustre 512-1023 al puerto de destino 988, protocolo TCP.
  • Salida con estado de los puertos de origen 512-1023 al puerto CIDR de la subred Lustre 988, protocolo TCP.

Opción 2: Cliente y brillo en la misma subred

En este escenario, el sistema de archivos está en la misma subred que el cliente. Las reglas de seguridad se deben configurar en una lista de seguridad para cada subred, o bien en un grupo del sistema de seguridad (NSG) para cada recurso:

  • Entrada con estado desde los puertos de origen CIDR de subred 512-1023 hasta el puerto de destino 988, protocolo TCP.
  • Salida con estado de los puertos de origen 512-1023 al puerto CIDR de subred 988, protocolo TCP.

Formas de activar las reglas de seguridad de VCN

El servicio Networking ofrece dos funciones de firewall virtual que utilizan reglas de seguridad para controlar la circulación en el nivel de paquete. Las dos funciones son:

  • Grupos a la seguridad de la red (NSG) (recomendado): una función diseñada para componentes a los que se les aplican diferentes estrategias. Cree un NSG que contenga las reglas necesarias y, a continuación, agregue el sistema de archivos al NSG. También puede agregar las reglas necesarias a un NSG existente y agregar el sistema de archivos al NSG. Cada sistema de archivos puede pertenecer a un máximo de cinco (5) NSG.
  • Listas de seguridad: la función de firewall virtual original del servicio Networking. Al crear una VCN, también se crea una lista de seguridad por defecto. Agregue las reglas necesarias a la lista de seguridad para la subred que contiene el sistema de archivos.
Importante

Puede utilizar los NSG solos, las listas de seguridad solos o ambos juntos. Depende de sus necesidades de seguridad concretas. Si utiliza tanto listas y grupos de seguridad, el conjunto de reglas que se aplica a una VNIC concreta es la combinación de estos elementos:

  • Reglas de seguridad de la lista de seguridad asociadas a la subred de la VNIC
  • Las reglas de seguridad de todos los NSG en los que se encuentra la VNIC

No importa qué método utilice si desea aplicar las reglas de seguridad a la VNIC del sistema de archivos, siempre que los puertos para los protocolos necesarios para File Storage con Lustre estén configurados correctamente en las reglas aplicadas.

Consulte Reglas de seguridad, Listas de seguridad y Grupos de seguridad de red para obtener más información, ejemplos y escenarios sobre cómo interactúan estas funciones en la red. Visión general de Networking proporciona información general sobre las redes.