Matriz de protocolo y puerto de red
Compute Cloud@Customer requiere que se otorguen permisos de acceso para determinadas direcciones IP, puertos y protocolos.
La estrategia de seguridad predeterminada para casi todos los firewalls es denegar el acceso. Esto se aplica a los firewalls utilizados entre el rack de Compute Cloud@Customer y el centro de datos del cliente.
Para permitir que determinadas funciones de Compute Cloud@Customer funcionen correctamente, se debe otorgar acceso a determinadas direcciones IP y servicios relacionados. Una regla de "permitir todo", como 0.0.0.0/0, es demasiado amplia para fines de seguridad, por lo que la mejor práctica es mostrar explícitamente las direcciones, los puertos y los protocolos que se permitan.
Compute Cloud@Customer se instala con conexiones a diferentes redes para diferentes fines (consulte Requisitos de red del sitio del cliente). Por motivos de seguridad, Compute Cloud@Customer aísla la red de administración de la red de datos del cliente.
Durante la instalación de Compute Cloud@Customer, Oracle configura las redes aisladas y trabaja con el administrador de red para configurar los puertos de red para que funcionen dentro de su entorno.
En la siguiente tabla, se muestran los permisos de acceso para determinadas direcciones IP, puertos y protocolos que se otorgan para el aislamiento del centro de datos y la red de administración.
Clave de Tabla:
- Cliente: acceso de administrador de cliente para la gestión de recursos de Compute Cloud@Customer
- Oracle: acceso de administrador de Oracle, al que solo puede acceder Oracle cuando el cliente le otorga acceso mediante Oracle Operator Access Control.
| Dirección IP de origen |
Dirección IP de destino |
Puerto |
Protocolo |
Descripción |
|---|---|---|---|---|
| Todas las redes de clientes | VIP de cliente | ICMP | Tipo 0/Respuesta de eco | |
| administradores de Oracle | VIP de Oracle | ICMP | Tipo 0/Respuesta de eco | |
| Todas las redes de clientes | Nodos de Gestión | ICMP | Tipo 0/Respuesta de eco | |
| Todas las redes de clientes | IP de Object Storage | ICMP | Tipo 0/Respuesta de eco | |
| Todas las redes de clientes | VIP de cliente | ICMP | Tipo 3/Inaccesible | |
| administradores de Oracle | VIP de Oracle | ICMP | Tipo 3/Inaccesible | |
| Todas las redes de clientes | Nodos de Gestión | ICMP | Tipo 3/Inaccesible | |
| Todas las redes de clientes | IP de Object Storage | ICMP | Tipo 3/Inaccesible | |
| Todas las redes de clientes | VIP de cliente | ICMP | Tipo 8/ping a VIP | |
| administradores de Oracle | VIP de Oracle | ICMP | Tipo 8/ping a VIP | |
| administradores de Oracle | Nodos de Gestión | ICMP | Tipo 8/ping al nodo | |
| Todas las redes de clientes | IP de Object Storage | ICMP | Tipo 8/ping a VIP | |
| administradores de Oracle | VIP de Oracle | 22 | TCP | SSH para nodo de gestión activo |
| administradores de Oracle | Nodos de Gestión | 22 | TCP | SSH para nodo de gestión específico |
| IP de DNS de instalación inicial | VIP de cliente | 53 | UDP | Zonas autorizadas |
| IP de DNS de instalación inicial | VIP de cliente | 53 | TCP | Zonas autorizadas |
| IP de DNS de instalación inicial | VIP de Oracle | 53 | UDP | Zona administrativa |
| IP de instalación inicial AdminDNS | VIP de Oracle | 53 | TCP | Zona administrativa |
| Nodos de Gestión | IP de DNS de instalación inicial | 53 | UDP | Resolución de DNS externo para red de datos |
| Nodos de Gestión | IP de DNS de instalación inicial | 53 | TCP | Resolución de DNS externo para red de datos |
| Nodos de Gestión | IP de instalación inicial AdminDNS | 53 | UDP | Resolución de DNS externo para red de administración |
| Nodos de Gestión | IP de instalación inicial AdminDNS | 53 | TCP | Resolución de DNS externo para red de administración |
| administradores de Oracle | VIP de Oracle | 443 | TCP | Puntos finales de API de Oracle y BUI |
| Todos los usuarios de Compute Cloud@Customer | VIP de cliente | 443 | TCP | Puntos finales y BUI de la API de Compute Cloud@Customer |
| Todos los usuarios de Compute Cloud@Customer | VIP de cliente | 8.079 | TCP | Repositorio de descarga de imágenes |
| administradores de Oracle | VIP de Oracle | 30.006 | TCP | CLI de Administrador |
| administradores de Oracle | Nodos de Gestión | 30.006 | TCP | CLI de Administrador |
| VIP de cliente | Servidores recursivos de DNS | 53 | UDP | Reenvío DNS |
| VIP de cliente | Servidores recursivos de DNS | 53 | TCP | Reenvío DNS |
| VIP de Oracle | Servidores recursivos de DNS | 53 | UDP | Reenvío DNS |
| VIP de Oracle | Servidores recursivos de DNS | 53 | TCP | Reenvío DNS |
| VIP de Oracle | Servidores NTP de cliente | 123 | UDP | NTP |
| VIP de Oracle | Normalmente, transport.oracle.com | 443 | TCP | Destinos de ASR |
| VIP de Oracle | Destinos de notificación de Oracle Grafana | 443 | TCP | Destinos de notificación de Grafana |
| VIP de Oracle | Duplicación de ULN local de Oracle | 443 | TCP | aplicación de parches |
| VIP de cliente | Repositorio de Imágenes Local | 443 | TCP | Importar imagen personalizada desde-object-uri |
| Nodos de Gestión | Dirección IP pública del equilibrador de carga | 6.443 | TCP | Punto final de la dirección IP pública del equilibrador de carga |
|
Todas las redes de clientes |
Consola de instancias | 1.443 | TCP | Conexiones de consola de instancias |