Definición de reglas de seguridad

Un administrador debe configurar reglas de seguridad para controlar el tráfico de red entrante y saliente de los recursos de Big Data Service.

Antecedentes

En Oracle Cloud Infrastructure, hay dos tipos de firewalls virtuales disponibles para controlar el tráfico desde y hacia los recursos en la nube. Las listas de seguridad incluyen reglas de seguridad que se aplican a una subred completa. Los grupos de seguridad de red incluyen reglas de seguridad que se aplican a un juego definido de recursos que se organizan en grupos. Los grupos de seguridad de red permiten un control más detallado, mientras que las listas de seguridad son más fáciles de configurar y mantener.

Las listas de seguridad y los grupos de seguridad de red ambos incluyen reglas de seguridad. Una regla de seguridad permite que un tipo concreto de tráfico entre o salga de una tarjeta de interfaz de red virtual (VNIC).

Nota

Una VNIC es un componente de red que permite que un recurso en red, como una instancia (un nodo en Big Data Service), se conecte a una red virtual en la nube (VCN). La VNIC determina cómo se conecta la instancia con los puntos finales dentro y fuera de la VCN. Cada VNIC reside en una subred de una VCN. Una lista de seguridad define un conjunto de reglas de seguridad que se aplican a todas las VNIC de una subred. Un grupo de seguridad de red define un conjunto de reglas de seguridad que se aplican a un grupo de VNIC que usted define.

Es importante entender el papel de las VNIC en la arquitectura de red, pero, a efectos de esta documentación, por lo general resulta suficiente consultar cómo funcionan las reglas de seguridad en las VCN y las subredes.

Para obtener más información, consulte Reglas de seguridad en la documentación de Oracle Cloud Infrastructure.

Creación de reglas de seguridad en listas de seguridad

Normalmente, Big Data Service utiliza listas de seguridad. Esto significa que se crean reglas de seguridad para una subred y que cualquier cluster de esa subred está sujeto a esas reglas. Las siguientes instrucciones indican cómo crear reglas de seguridad en una lista de seguridad definida para la subred que utiliza su cluster.

Una lista de seguridad puede definir tanto reglas de entrada (para tráfico entrante) como reglas de salida (para tráfico saliente).

Cada regla de seguridad especifica:
  • La dirección (entrada o salida)
  • Si es una regla con o sin estado
  • El tipo de origen y el origen (solo las reglas de entrada)

Para obtener la documentación completa sobre las reglas de seguridad, consulte Partes de una regla de seguridad en la documentación de Oracle Cloud Infrastructure.

Las siguientes secciones contienen detalles específicos sobre la creación de reglas de entrada y de salida para los clusters de Big Data Service.

Creación de reglas de entrada (y puertos abiertos)

Para permitir el acceso a servicios como Cloudera Manager y Hue, debe abrir ciertos puertos en los clusters de Big Data Service. Configure estos puertos en las reglas de entrada de seguridad que se aplican a un cluster.

Para definir reglas de entrada en una lista de seguridad:
  1. En la consola de Oracle Cloud, abra el menú de navegación menú de navegación. En Infraestructura básica, seleccione Red y, a continuación, Redes virtuales en la nube.
  2. En la página Redes virtuales en la nube del compartimento <compartment>, haga clic en el nombre de la VCN que utiliza el cluster. (La VCN se asoció al cluster cuando se creó el cluster).
  3. En la página <vcn>, en Subredes del compartimento <compartment>, haga clic en el nombre de la subred que utiliza el cluster. (La subred se asoció al cluster cuando se creó el cluster).
  4. En Listas de seguridad, haga clic en el nombre de una lista de seguridad definida para la subred. Si selecciona la lista de seguridad por defecto para la subred, puede que ya tenga algunas reglas definidas. Por ejemplo, puede que tenga una regla que permita el tráfico entrante en el puerto 22, para el acceso de shell seguro (SSH).
  5. Si no se muestran las reglas de entrada, haga clic en Reglas de entrada en el lado izquierdo de la página, en Recursos.
  6. Haga clic en el botón Agregar reglas de entrada para configurar las reglas de entrada de la subred.
  7. En el cuadro de diálogo Agregar reglas de entrada, defina las siguientes opciones para abrir el puerto 22 para el acceso SSH (si aún no está abierto):
    • Sin estado: deje esta casilla desactivada. Esto hace que sea una regla con estado, lo que significa que cualquier respuesta al tráfico entrante puede volver al host de origen, independientemente de las reglas de salida que se apliquen a la instancia.
    • Tipo de origen: seleccione CIDR.
    • CIDR de origen: introduzca 0.0.0.0/0, que indica que se permite el tráfico de todos los orígenes de Internet.
    • Protocolo IP: seleccione TCP.
    • Rango de puertos de origen: acepte el valor por defectoTodo.
    • Rango de puertos de destino: introduzca 22 para permitir el acceso a través de SSH.
    • Descripción: agregue una descripción opcional.
  8. En la parte inferior del cuadro de diálogo, haga clic en +Reglas de entrada adicionales e introduzca los valores de otra regla. Haga esto tantas veces como sea necesario para crear todas las reglas que necesite y, a continuación, haga clic en Agregar reglas de entrada.
    Para un conjunto típico de reglas de entrada para un cluster, cree reglas adicionales que utilicen los mismos valores de arriba, pero con rangos de puertos de destino diferentes:
    • Cloudera Manager: puerto 7183
    • Hue: puerto 8888
    • Gestor de recursos web: puerto 8090
    • Servidor de historial de Spark: puerto 18088
    • Cloud SQL (si está instalado): puerto 1521

    Las reglas de entrada serán similares a las siguientes:

    Sin estado Origen Protocolo IP Rango de puertos de origen Rango de puerto de destino Tipo y código Permite Descripción
    No 0.0.0.0/0 TCP Todo 22 . Tráfico TCP para los puertos: 22 SSH ... SSH
    No 0.0.0.0/0 ICMP . . 3,4 Tráfico ICMP para: 3, 4 ...  
    No 0.0.0.0/0 ICMP . . 3 Tráfico ICMP para: 3 ...  
    No 0.0.0.0/0 TCP Todo 7183 . Tráfico TCP para los puertos: 7183 CM
    No 0.0.0.0/0 TCP Todo 8888 . Tráfico TCP para los puertos: 8888 Hue
    No 0.0.0.0/0 TCP Todo 8090 . Tráfico TCP para los puertos: 8090 Gestor de recursos web
    No 0.0.0.0/0 TCP Todo 180888 . Tráfico TCP para los puertos: 180888 Servidor de historial de Spark
    No 0.0.0.0/0 TCP Todo 1521 . Tráfico TCP para los puertos: 1521 Cloud SQL (servido de consultas)

Creación de reglas de salida

Creación de reglas de salida (si es necesario)

Al crear un cluster, tiene la opción de utilizar un gateway de NAT. La elección o no de la opción afecta a la forma en que puede controlar el tráfico de salida.

  • Si decide seleccionar la opción de gateway de NAT al crear un cluster, todos los nodos tendrán acceso de salida total a la red pública de Internet. No podrá limitar el acceso de ninguna forma (por ejemplo, restringiendo la salida solo a unos pocos rangos de IP).

  • Si decide no crear un gateway de NAT al crear un cluster, puede crear un gateway de NAT en la VCN que está utilizando para acceder al cluster. También puede editar políticas en este gateway de NAT para limitar la salida a rangos de IP especificados.

  • Si asigna las IP de VM a las IP públicas, no se necesita un gateway de NAT.

(Opcional) Introduzca el resultado del procedimiento aquí.