Solucionar problemas de red con VTAP para OCI y Wireshark
El punto de acceso de prueba virtual (VTAP) para Oracle Cloud Infrastructure (OCI) proporciona estadísticas sobre el tráfico de red y captura los datos necesarios para un análisis de red detallado. VTAP para OCI permite la captura e inspección de paquetes de red de OCI fuera de banda para facilitar la resolución de problemas, el análisis de seguridad y la supervisión de datos sin afectar el rendimiento.
- Una única instancia informática
- Un equilibrador de carga de aplicaciones como servicio (LBaaS) (capa 7, equilibrador de carga de proxy)
- Una base de datos como servicio (DBaaS)
- Un cluster de VM de Exadata
- Una instancia de Autonomous Data Warehouse que utiliza un punto final privado
El destino es el recurso que recibe el tráfico reflejado desde un VTAP. Los destinos del VTAP pueden ser:
- Un equilibrador de carga de red (capa 4, equilibrador de carga no proxy)
Arquitectura
Esta arquitectura de referencia muestra cómo se puede utilizar VTAP para OCI y Wireshark para supervisar el tráfico de red en varios puntos de la infraestructura de OCI e implantar una solución rentable para solucionar problemas relacionados con la red en su arrendamiento de OCI.
El siguiente diagrama ilustra esta arquitectura de referencia.
oci-vtap-network-wireshark-arch-oracle.zip
- LBaaS (capa 7, equilibrador de carga de proxy) en una subred pública
- VNIC de los servidores de aplicaciones a los que el equilibrador de carga dirige el tráfico
- Clusters de Exadata en una subred privada
- Sistemas DBaaS en una subred privada
- Bases de datos autónomas a las que se accede mediante punto final privado (PE)
A continuación, debe navegar desde la consola de OCI al VTAP con el origen desde el que desea capturar los detalles de tráfico y aplicar un filtro de captura. El filtro de captura permite capturar solo el tráfico necesario en función de los siguientes factores:
- Dirección del tráfico
- Entrada
- Salida
- Prefijo IPv4 CIDR o IPv6
- Origen
- Destino
- Protocolo IP
- Todo el Tráfico
- ICMP: tipo de ICMP, código de ICMP
- TCP: rango de puertos de origen, rango de puertos de destino
- UDP
- Rango de puertos de origen
- Rango de puertos de destino
- ICMPv6
- Tipo ICMPv6
- Código ICMPv6
La arquitectura tiene los siguientes componentes:
- Punto de acceso de prueba virtual (VTAP)
Un punto de acceso de prueba virtual (VTAP) proporciona una manera de reflejar el tráfico de un origen designado a un destino seleccionado para facilitar la resolución de problemas, el análisis de seguridad y la supervisión de datos. El VTAP utiliza un filtro de captura, que contiene un conjunto de reglas que rigen el tráfico que refleja un VTAP.
- Host de Wireshark
Wireshark es un analizador de paquetes gratuito y de código abierto que permite capturar y analizar tráfico. En esta arquitectura de referencia, el host Wireshark captura el tráfico de red y puede presentar los datos de paquetes capturados con el mayor detalle posible. El tráfico se puede analizar desde la línea de comandos o descargar en un sistema con la interfaz de usuario Wireshark para el análisis gráfico.
- Equilibrador de carga como servicio (LBaaS) (capa 7, equilibrador de carga de proxy)
Un servicio de Oracle Cloud Infrastructure Load Balancing (capa 7, equilibrador de carga de proxy) proporciona una distribución de tráfico automatizada desde un único punto de entrada a varios servidores en el backend.
- equilibrador de carga de red (capa 4, equilibrador de carga no proxy)
Un equilibrador de carga de red (capa 4, equilibrador de carga no proxy) proporciona una distribución de tráfico automatizada desde un punto de entrada a varios servidores backend de sus redes virtuales en la nube. Funciona a nivel de conexión y equilibra la carga de las conexiones de cliente entrantes a servidores backend en buen estado basados en los datos Layer3/Layer4 (protocolo IP).
- Servicio bastión
El servicio Bastion de Oracle Cloud Infrastructure proporciona acceso seguro, restringido y limitado por tiempo, a recursos que no tienen puntos finales públicos y que requieren estrictos controles de acceso a los recursos, como máquinas virtuales y con hardware dedicado. En esta arquitectura de referencia, el servicio Bastion permite el acceso seguro a los hosts Wireshark de backend incluso cuando los hosts Wireshark no tienen puntos finales públicos.
- Región
Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarse (entre países e incluso continentes).
- Dominios de disponibilidad
Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten una infraestructura tal como la alimentación, la refrigeración o la red interna del dominio de disponibilidad. Por tanto, es poco probable que un fallo en un dominio de disponibilidad afecte a los otros dominios de disponibilidad de la región.
- Dominios de errores
Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con hardware y potencia independientes. Cuando distribuye recursos entre varios dominios de errores, sus aplicaciones pueden tolerar fallos en el servidor físico, el mantenimiento del sistema y los fallos de alimentación dentro de un dominio de errores.
- Red virtual en la nube (VCN) y subredes
Una VCN es una red personalizable definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de centros de datos tradicionales, las VCN le proporcionan un control total de su entorno de red. Una VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes que se pueden acotar a una región o a un dominio de disponibilidad. Cada subred consta de un rango contiguo de direcciones que no se solapan con las demás subredes de VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.
- Base de datos autónoma
Las bases de datos autónomas de Oracle Cloud Infrastructure son entornos de base de datos completamente gestionados y preconfigurados que puede utilizar para cargas de trabajo de procesamiento de transacciones y almacenamiento de datos. No es necesario configurar ni gestionar ningún hardware, o instalar cualquier software. Oracle Cloud Infrastructure gestiona la creación de la base de datos, así como la copia de seguridad, la aplicación de parches, la actualización y el ajuste de la base de datos.
- Sistema de base de datos Exadata
Exadata Cloud Service le permite aprovechar la potencia de Exadata en la nube. Puede aprovisionar sistemas X8M flexibles que le permitan agregar servidores de recursos informáticos y servidores de almacenamiento de base de datos al sistema a medida que aumenten sus necesidades. Los sistemas X8M ofrecen redes RoCE (RDMA sobre Ethernet convergente) para módulos de gran ancho de banda y baja latencia, memoria persistente (PMEM) y software inteligente de Exadata. Puede aprovisionar sistemas X8M mediante una unidad equivalente a un sistema X8 de cuarto de rack y, a continuación, agregar servidores de base de datos y almacenamiento en cualquier momento después del aprovisionamiento.
- Servidor de aplicación
Los servidores de aplicaciones utilizan un par secundario que, al igual que la base de datos, tomará el control del procesamiento en caso de desastre. Los servidores de aplicaciones utilizan la configuración y los metadatos almacenados tanto en la base de datos como en el sistema de archivos. Los clusters de servidor de aplicaciones proporcionan protección en el ámbito de una sola región, pero las modificaciones y los nuevos despliegues continuos deben replicarse en la ubicación secundaria de forma continua para una recuperación ante desastres coherente.
- Tabla de rutas
Las tablas de rutas virtuales contienen reglas para enrutar el tráfico desde subredes a destinos fuera de una VCN, normalmente a través de gateways.
- Lista de Seguridad
Para cada subred, puede crear reglas de seguridad que especifiquen el origen, el destino y el tipo de tráfico que se debe permitir dentro y fuera de la subred.
Recomendaciones
- VCN
Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque según el número de recursos que planea asociar a subredes en la VCN. Utilice bloques CIDR que estén dentro del espacio de dirección IP privada estándar.
Seleccione bloques CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) en la que desea configurar conexiones privadas.
Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.
Al diseñar las subredes, tenga en cuenta los requisitos de seguridad y flujo de tráfico. Conecte todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.
- Ancho de banda de LBaaS (capa 7, equilibrador de carga de proxy)
Al crear el equilibrador de carga, puede seleccionar una unidad predefinida que proporcione un ancho de banda fijo o especificar una unidad personalizada (flexible) en la que defina un rango de ancho de banda y permita al servicio escalar el ancho de banda automáticamente en función de los patrones de tráfico. Con cualquier enfoque, puede cambiar la unidad en cualquier momento después de crear el equilibrador de carga.
- equilibrador de carga de red (capa 4, equilibrador de carga no proxy)
Especifique si desea un equilibrador de carga de red privado o público y, a continuación, cree el listener y los juegos de backends. Se recomienda configurar el listener para el puerto UDP 4789, que es el puerto para VXLAN (el tráfico reflejado VTAP está encapsulado en VXLAN). Esto garantizará que el equilibrador de carga de red reciba y equilibre la carga de todo el tráfico reflejado.
Consideraciones
Tenga en cuenta las siguientes opciones al desplegar esta arquitectura de referencia.
- Costo
No hay costo para la creación de VTAP si tiene una suscripción a OCI. El equilibrador de carga de red utilizado como destino para VTAP forma parte del nivel libre. La máquina virtual alojada para Wireshark también puede estar en el nivel gratuito.