Archivar el tráfico de red reflejado en OCI Object Storage

El punto de acceso de prueba virtual (VTAP) de Oracle Cloud Infrastructure es un servicio de duplicación de tráfico de red que captura una copia del tráfico de red de un origen especificado, aplica filtros para centrarse en los datos relevantes y los envía a un destino para su análisis. Esto proporciona oportunidades para mejorar la resolución de problemas de red, la supervisión de la seguridad, el análisis del rendimiento de la red y la auditoría de conformidad.

Arquitectura

Esta arquitectura muestra cómo puede utilizar Oracle Cloud Infrastructure (OCI) para archivar el tráfico reflejado desde VTAP a OCI Object Storage.

El archivado del tráfico de red puede ser necesario por motivos de conformidad. Además, el archivado del tráfico de red tiene ventajas a la hora de resolver problemas de red escasos o intermitentes. Puede analizar de forma selectiva la captura de red del tráfico de producción anterior según sea necesario.

El siguiente diagrama ilustra esta arquitectura de referencia.

A continuación se muestra la descripción de oci-vtap-archiver.png
Descripción de la ilustración oci-vtap-archiver.png

oci-vtap-archiver-oracle.zip

Para fines ilustrativos, un servidor web HTTP simple está en una subred pública con sus clientes en la primera subred privada. Los clientes utilizan el comando HTTP GET curl para descargar archivos del servidor de archivos HTTP. Estos clientes se configuran como orígenes de VTAP en esta ilustración. Reflejamos solo el tráfico HTTP con VTAP. El equilibrador de carga de red de OCI recibe el tráfico reflejado del VTAP y lo equilibra la carga entre sus nodos de servidor backend. A continuación, estos nodos de backend cargan la captura de red en OCI Object Storage. Puede tener servidores web o una instancia de base de datos como origen de la configuración de VTAP en su entorno. El resto del diseño seguirá siendo el mismo en la implantación.

Las líneas de puntos verticales entre los siguientes componentes indican que se pueden configurar flujos de VTAP adicionales: cliente 1 al cliente #n, que actúa como orígenes de VTAP, y fregadero de VTAP 1 al fregadero de VTAP #m, nodos que realizan el archivado en OCI Object Storage.

La configuración de Terraform creará una VCN con las tres subredes siguientes:
  • Subred pública: contiene un único host, que actúa como un servidor de archivos HTTP y un jumpbox para acceder a los nodos de las dos subredes privadas. Puede que necesite un servidor jumpbox o bastión en una subred pública de su entorno de producción para acceder a los nodos de una subred privada con el fin de solucionar problemas u otros fines de mantenimiento.
  • Subred privada: aloja nodos que descargan un archivo ficticio del servidor de archivos HTTP para crear tráfico HTTP. Estos nodos actúan como orígenes para el VTAP y su tráfico es reflejado por el VTAP con un filtro de captura adecuado. Haremos referencia a estos nodos como nodos de origen de VTAP. Cada nodo de origen de VTAP tiene su propio VTAP independiente.
  • Subred privada: contiene un equilibrador de carga de red (NLB) que actúa como destino para los VTAP. OCI Flexible Network Load Balancer tiene nodos de backend que realizan la captura de red del tráfico de VTAP como archivos pcap y los archivan en un cubo. Llamamos a estos nodos nodos nodos VTAP Sink. Los nodos de fregadero del VTAP y el NLB residen en la misma subred privada.

VTAP se configura con un filtro de captura para capturar solo el tráfico de red de las solicitudes HTTP GET disparadas por estos orígenes de VTAP al servidor de archivos HTTP en nuestra subred pública. El VTAP se configura en la VNIC principal de los nodos de origen del VTAP.

Puede seleccionar la región y el compartimento para el despliegue. Todos los recursos se crean en la región y el compartimento especificados. También se crea el cubo de OCI Object Storage para archivar los archivos pcap.

La arquitectura tiene los siguientes componentes:

  • Región

    Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes entre sí y puede haber grandes distancias que las separen (entre países e incluso continentes).

  • Red y subredes virtuales en la nube (VCN)

    Una VCN es una red personalizable y definida por software que puede configurar en una región de Oracle Cloud Infrastructure. Al igual que las redes de los centros de datos tradicionales, las redes virtuales le proporcionan el control de su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • VTAP

    Un punto de acceso de pruebas virtual (VTAP) proporciona una manera de reflejar el tráfico de un origen designado en un destino seleccionado para facilitar la resolución de problemas, los análisis de seguridad y la supervisión de datos.

  • Equilibrador de carga de red (NLB)

    OCI Flexible Network Load Balancer proporciona una distribución automática del tráfico de un punto de entrada a varios servidores en un juego de backends. Los equilibradores de carga de red garantizan que los servicios permanezcan disponibles al dirigir el tráfico solo a servidores en buen estado basados en datos de capa 3/capa 4 (protocolo IP). Aquí utilizamos OCI Flexible Network Load Balancer para equilibrar la carga del tráfico UDP de VXLAN en los nodos de sumidero de VTAP.

  • Object Storage

    Oracle Cloud Infrastructure Object Storage proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de base de datos, datos analíticos y contenido enriquecido, como imágenes y vídeos. Puede almacenar datos de forma segura y, a continuación, recuperarlos directamente desde Internet o desde la plataforma en la nube. Puede ampliar el almacenamiento sin experimentar ninguna degradación del rendimiento ni de la fiabilidad del servicio. Utilice el almacenamiento estándar para el almacenamiento al que debe acceder de forma rápida, inmediata y frecuente. Utilice el almacenamiento de archivo para el almacenamiento "frío" al que conserva durante largos períodos de tiempo y al que rara vez accede.

  • Gateway de servicio

    El gateway de servicios proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico de la VCN al servicio Oracle viaja por el tejido de red de Oracle y no atraviesa Internet.

  • Gateway de Internet

    El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida. Sus requisitos pueden diferir de la arquitectura descrita aquí.
  • VCN

    Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que planea asociar a las subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de direcciones IP privadas estándar.

    Seleccione bloques de CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) a la que desee configurar conexiones privadas.

    Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.

    Al diseñar las subredes, tenga en cuenta el flujo de tráfico y los requisitos de seguridad. Asocie todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

    Utilizar subredes regionales.

  • Límites de conexión del equilibrador de carga de red

    El equilibrador de carga de red L3/L4 de OCI es un servicio gratuito y se escala automáticamente de forma dinámica en función del tráfico. Los equilibradores de carga de red tienen un límite por defecto de conexiones simultáneas de 330 000 conexiones por dominio de disponibilidad (AD). En regiones con tres dominios de disponibilidad, por defecto, los equilibradores de carga de red tienen un límite de conexiones simultáneas de un millón.

  • Listas de seguridad

    Utilice listas de seguridad para definir las reglas de entrada y salida que se aplican a toda la subred.

  • Grupos de seguridad de red (NSG)

    Puede utilizar NSG para definir un juego de reglas de entrada y salida que se aplican a VNIC específicas. Recomendamos utilizar NSG en lugar de listas de seguridad, ya que los NSG permiten separar la arquitectura de subred de la VCN de los requisitos de seguridad de la aplicación.

  • Consulte el archivo vtap.tf en GitHub para obtener más información sobre el filtro de captura.
  • Consulte el archivo cloud_init/vtap_sink.yml para obtener detalles sobre cómo se configura tcpdump y cómo funciona el tráfico reflejado encapsulado de VXLAN.

Consideraciones

Al implantar esta solución, tenga en cuenta lo siguiente:

  • Tráfico de protocolo de Internet

    Esta solución se ha desarrollado y probado solo para el tráfico IPv4.

  • Permisos

    Debe tener los permisos de Oracle Cloud Infrastructure Identity and Access Management necesarios para el compartimento y la región seleccionados, para crear todos los recursos de OCI necesarios para este despliegue.

  • Parámetros configurables

    Consulte el archivo variables.tf para ver todos los parámetros configurables.

  • Orígenes y reglas de VTAP
    • Un VTAP siempre debe tener un origen, un destino y un filtro de captura asociado.
    • Un filtro de captura debe tener siempre al menos una regla asociada.
    • Una VNIC nunca puede ser un origen para más de un VTAP.

Despliegue

Descargue el código de GitHub, personalice el código y despliéguelo. Terraform configurará todos los recursos necesarios en su arrendamiento de OCI.

Puede utilizar el despliegue con un solo clic mediante OCI Resource Manager o descargar código para desplegar desde una máquina de desarrollo local.

Los enlaces están disponibles en GitHub.

  1. Vaya a GitHub.
  2. Se muestra la sección Desplegar del documento README.
  3. Siga las instrucciones del documento README (Léame).

Explorar más

Más información sobre Oracle Cloud Infrastructure y la duplicación de red:

Revise estos recursos adicionales:

Confirmaciones

  • Autor: Mayur Raleraskar