Documentation sur Oracle Cloud Infrastructure

Points d'accès de test virtuel

Un point d'accès de test virtuel (VTAP) permet de mettre en miroir le trafic d'une source désignée vers une cible sélectionnée pour faciliter le dépannage, l'analyse de sécurité et la surveillance des données.

Le VTAP utilise un filtre de saisie, qui contient un jeu de règles régissant le trafic mis en miroir par un VTAP. Un VTAP est par défaut à l'état ARRÊTÉ lors de sa création. Vous devez donc cliquer sur Démarrer le VTAP avant de mettre en miroir le trafic comme souhaité.

Vous pouvez définir un filtre de saisie lors de la création d'un VTAP ou en affecter un à un nouveau VTAP.

Sources et cibles de VTAP

La source du VTAP est la ressource qu'il surveille. Le trafic de cette ressource est mis en miroir et envoyé à une cible choisie. La source et la cible du VTAP doivent être hébergées dans le même réseau en nuage virtuel. Elles peuvent se trouver dans différents compartiments ou sous-réseaux pourvu que vous disposiez des autorisations requises pour consulter et utiliser ces ressources. Les sources du VTAP peuvent être les éléments suivants :

Pour les instances de calcul, spécifiez l'OCID de la carte vNIC attachée. Pour les autres types de source, spécifiez l'OCID de la ressource de service.

​La cible est la ressource qui reçoit le trafic en miroir provenant d'un VTAP. Les cibles du VTAP peuvent être les éléments suivants :

Note

Lorsqu'une ressource utilisée comme source ou cible d'un VTAP est supprimée, ce dernier ne peut plus fonctionner et la console le règle à l'état arrêté. Pour redémarrer le VTAP, sélectionnez une nouvelle ressource pour remplacer la ressource manquante.

Ce diagramme présente un exemple de mise en oeuvre d'un VTAP.

Diagramme montrant un VTAP avec une source et une cible.

Dans cet exemple, la machine virtuelle dans Subnet-A envoie le trafic vers une autre machine virtuelle dans Subnet-B. Le VTAP dans Subnet-A vérifie le trafic qui quitte la machine virtuelle. Comme ce trafic correspond au filtre de saisie utilisé, le VTAP met en miroir le trafic vers la cible (dans ce cas, un équilibreur de charge de réseau dans Subnet-C). Le jeu dorsal peut ensuite effectuer l'analyse appropriée sur le trafic en miroir.

Règles et filtres de saisie

Les règles du filtre de saisie sélectionnent ce qui est inclus dans le trafic mis en miroir de la source vers la cible. De nombreux VTAP peuvent utiliser le même filtre de saisie, de sorte que la modification des règles de celui-ci a une incidence sur tous les VTAP qui l'utilisent. Un filtre de saisie doit comporter au moins une règle et peut en comporter jusqu'à 10. Les règles du filtre de saisie sont examinées dans l'ordre que vous définissez. Lorsqu'une correspondance est trouvée, la règle associée est appliquée. Si aucune correspondance n'est trouvée pour une règle donnée, la règle suivante de la séquence est évaluée et exécutée en cas de correspondance. Le reclassement des règles peut modifier le comportement du filtre de saisie.

Un filtre de saisie peut effectuer une action (inclure ou exclure un paquet) en fonction des types de critère suivants :

  • Le paquet fait partie du trafic entrant ou sortant
  • Le paquet est en direction ou en provenance d'un bloc CIDR IPv4 ou d'un préfixe IPv6 source ou de destination spécifique
  • Le paquet se sert d'un paramètre de protocole IP spécifique (intervalle de ports TCP ou UDP, ICMP, ICMPv6) utilisé par le trafic ou n'importe quel protocole (à l'aide de la valeur par défaut, Tout)

Si une règle ne spécifie pas de bloc CIDR, de préfixe ou de protocole IP, toutes les adresses IP ou tous les protocoles IP sont acceptés pour cette règle.

Voici un exemple pratique de la façon dont vous pouvez structurer un jeu de règles. L'intention est que tout le trafic à partir de 10.1.0.0/16 soit inclus, sauf 10.1.1.1, qui est exclu :

  1. CIDR source : 10.1.1.1/32, Exclure
  2. CIDR source : 10.1.0.0/16, Inclure
  3. CIDR source : 10.1.1.0/24, Inclure

Le filtre de saisie évalue chaque paquet du trafic d'après les règles dans l'ordre de séquence défini. Un paquet de 10.1.1.1 correspond à la première règle et est exclu du trafic en miroir. Le paquet n'est pas comparé aux autres règles du jeu. Le jeu de règles fonctionne comme prévu.

Si la première règle est placée en troisième dans la séquence, le jeu de règles ne fonctionne plus comme prévu :

  1. CIDR source : 10.1.0.0/16, Inclure
  2. CIDR source : 10.1.1.0/24, Inclure
  3. CIDR source : 10.1.1.1/32, Exclure

Comme les règles de filtre de saisie évaluent chaque paquet dans le trafic dans l'ordre de séquence défini, un paquet de 10.1.1.1 correspond maintenant à la première règle et est inclus dans le trafic en miroir. D'autres évaluations de règle sont ignorées. Cet exemple utilise des blocs CIDR, mais les règles sont évaluées de la même façon, quel que soit le type de source choisi.

Pour plus d'informations, voir Filtres de saisie.

Fonctions avancées liées au VTAP

Identificateur de réseau VxLAN (VNI) : Entrez un VNI pour identifier de manière unique le tunnel d'encapsulation VXLAN. Si vous n'indiquez aucun VNI, un est automatiquement généré pour vous.

Taille maximale de paquet : Vous pouvez spécifier une taille maximale de paquet de 64 à 9000 octets. Pour une meilleure performance ou une ingestion efficace à la cible, vous pouvez tronquer les paquets en miroir sur une plus petite longueur. Un VTAP fonctionne avec la MTU de 9000 octets définie sur toutes les cartes d'interface réseau de l'instance. Toutefois, en raison de l'encapsulation du VTAP (VxLAN), la MTU sur les cartes vNIC de l'instance qui sont des sources du VTAP doit prendre en compte la MTU cible moins la surcharge d'encapsulation du VTAP. Pour éviter toute troncation de paquet dans les paquets capturés par le VTAP, les MTU des interfaces d'instance source doivent être réglées à 8950 ou moins pour IPv4, ou à 8930 ou moins pour IPv6. Les cartes d'interface réseau de toutes les instances cibles doivent être réglées de manière à utiliser une MTU de 9 000 octets (valeur par défaut dans les images Oracle standard).
Note

Si un VTAP est activé sur une source prise en charge donnée, la surcharge générée par la mise en miroir des paquets consomme de la bande passante de réseau. La capacité de bande passante du réseau est déterminée par la forme sous-jacente de l'instance associée à une carte VNIC. Un VTAP est mis en oeuvre sur la carte vNIC.

Si vous utilisez plus de 30 % de la bande passante de réseau disponible prise en charge par le service et que vous souhaitez activer un VTAP, nous vous recommandons de mettre à niveau la forme du service sous-jacente.

Vous pouvez également spécifier une taille de paquet maximale inférieure lorsque vous configurez un VTAP pour qu'il utilise une MTU inférieure ou égale à 1500 afin d'obtenir une meilleure performance globale et une meilleure utilisation de la bande passante.

Pour les paquets en miroir tronqués, les paramètres d'en-tête de paquet des données utiles tels que la longueur et le total de contrôle ne sont pas mis à jour.

Mode de priorité : Cette option accorde la même priorité au trafic surveillé et à celui en miroir lorsqu'un encombrement est présent à la source. Par défaut, le trafic de production est prioritaire par rapport au trafic en miroir du VTAP. Lorsque vous activez le mode de priorité, le trafic surveillé et le trafic en miroir VTAP ont une priorité égale. Lorsque cette option est sélectionnée, le trafic en miroir peut provoquer l'abandon d'une partie du trafic surveillé chaque fois que la source est encombrée. Si cette perte de paquets est détectée, vous pouvez soit désactiver le mode de priorité, soit mettre à niveau les formes de la source afin qu'elles prennent en charge davantage de bande passante.

Exigences et préparation

La mise en oeuvre d'un VTAP nécessite au moins une source et une cible valides, dans le même VCN. Ces ressources doivent exister avant la création d'un VTAP. La cible peut se trouver dans un sous-réseau différent de celui de la source.

Dépendances

L'utilisation des VTAP nécessite de comprendre certaines dépendances cruciales :

  • Un VTAP doit toujours avoir une source, une cible et un filtre de saisie associé.
  • Une règle au moins doit toujours être associée à un filtre de saisie.
  • Une carte vNIC ne peut être la source que d'un seul VTAP. Pour plus de détails, voir Sources et cibles de VTAP.

Les comportements attendus suivants sont visibles :

  • Vous ne pouvez pas créer de VTAP sans désigner une source et une cible, et sans l'associer à un filtre de saisie existant. Vous pouvez modifier le filtre de saisie associé au VTAP. Un VTAP doit être toujours associé à un filtre de saisie.
  • Vous ne pouvez pas supprimer un filtre de saisie associé à un VTAP. Pour supprimer un filtre de saisie utilisé par un ou plusieurs VTAP, vous devez leur en associer un autre.
  • Vous ne pouvez pas créer de filtre de saisie vide ni modifier un filtre de saisie pour qu'il ne contient plus de règles.
  • Si une source ou une cible de VTAP est supprimée, le VTAP est automatiquement placé à l'état ARRÊTÉ. Pour redémarrer un VTAP arrêté pour cette raison, modifiez-le afin d'affecter une nouvelle source ou cible valide, ce qui entraîne le rétablissement du VTAP à l'état EN COURS D'EXÉCUTION.

Politique IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès de sécurité au moyen d'une politique . Cet accès est requis que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez auprès de l'administrateur le type d'accès qui vous a été octroyé et le compartiment  à utiliser.

Pour les administrateurs : Voir Politiques GIA pour le service de réseau.

Limites sur les ressources GIA

Pour la liste des limites applicables et les instructions pour demander l'augmentation d'une limite, voir Limites de service. Pour définir des limites propres à un compartiment pour une ressource ou une famille de ressources, les administrateurs peuvent utiliser des quotas de compartiment.

Voir Limites du VTAP pour obtenir la liste des limites propres à ce service.

Solutions validées pour les partenaires Oracle

Certains membres du programme Oracle Partner Network (OPN) ont vérifié les solutions disponibles sur Oracle Marketplace qui fonctionnent avec un VTAP. Vous pouvez déployer ces solutions lorsque vous utilisez un VTAP pour envoyer le trafic en miroir vers une cible Équilibreur de charge de réseau.

Note

Vous pouvez choisir d'utiliser d'autres solutions avec VTAP, mais ces solutions sont validées par Oracle.