Documentation sur Oracle Cloud Infrastructure

Définition de règles de sécurité

Un administrateur doit configurer des règles de sécurité pour contrôler le trafic réseau vers et depuis les ressources du service de mégadonnées.

Arrière-plan

Dans Oracle Cloud Infrastructure, deux types de pare-feu virtuel sont disponibles pour contrôler le trafic vers et depuis vos ressources en nuage. Les listes de sécurité comprennent des règles de sécurité qui s'appliquent à un sous-réseau entier. Les groupes de sécurité de réseau comprennent des règles de sécurité qui s'appliquent à un jeu défini de ressources organisées en groupes. Les groupes de sécurité de réseau permettent un contrôle plus fin, tandis que les listes de sécurité sont plus faciles à configurer et à tenir à jour.

Les listes de sécurité et les groupes de sécurité de réseau comportent des règles de sécurité. Une règle de sécurité autorise un type particulier de trafic entrant ou sortant d'une carte d'interface réseau virtuelle (vNIC).

Note

Une carte vNIC est un composant du service de réseau qui permet à une ressource en réseau, telle qu'une instance (un noeud du service de mégadonnées), de se connecter à un réseau en nuage virtuel (VCN). La carte vNIC détermine comment l'instance se connecte à des points d'extrémité à l'intérieur et à l'extérieur du réseau VCN. Chaque carte vNIC réside dans un sous-réseau d'un VCN. Une liste de sécurité définit un jeu de règles de sécurité qui s'appliquent à toutes les cartes vNIC d'un sous-réseau. Un groupe de sécurité de réseau définit un jeu de règles de sécurité qui s'appliquent à un groupe de cartes vNIC que vous choisissez.

Il est important de comprendre le rôle des cartes vNIC dans votre architecture de réseau, mais dans le cadre de cette documentation, il suffit généralement de comprendre le mode de fonctionnement des règles de sécurité dans les réseaux VCN et sous-réseaux.

Pour plus d'informations, voir Règles de sécurité.

Création de règles de sécurité dans des listes de sécurité

En général, le service de mégadonnées utilise des listes de sécurité. Vous créez des règles de sécurité pour un sous-réseau et les grappes qu'il contient sont soumises à ces règles. Les instructions suivantes indiquent comment créer des règles de sécurité dans une liste de sécurité définie pour le sous-réseau utilisé par votre grappe.

Une liste de sécurité sert à définir des règles de trafic entrant et des règles de trafic sortant.

Chaque règle de sécurité spécifie les éléments suivants :
  • Direction (trafic entrant ou trafic sortant)
  • Avec état ou sans état
  • Type de source et source (règles de trafic entrant uniquement)

Pour obtenir de la documentation complète sur les règles de sécurité, voir Parties d'une règle de sécurité.

Les sections suivantes contiennent des détails spécifiques sur la création de règles de trafic entrant et sortant pour les grappes du service de mégadonnées.

Création de règles entrantes (et ouverture de ports)

Vous devez ouvrir certains ports sur les grappes du service de mégadonnées pour permettre l'accès à des services comme Apache Ambari, Hue et JupyterHub. Configurez ces ports dans les règles de trafic entrant qui s'appliquent à une grappe.

Pour plus d'informations sur la création d'une règle de trafic entrant, voir Règles de sécurité avec le contenu suivant propre au service de mégadonnées :
  1. Dans la boîte de dialogue Ajouter des règles entrantes, définissez les options suivantes pour ouvrir le port 22 pour l'accès SSH (si ce n'est pas encore fait) :
    • Sans état : Laissez cette case désélectionnée. La règle devient Avec état, ce qui signifie que toute réponse au trafic entrant est autorisée à retourner à l'hôte d'origine, indépendamment des règles de trafic sortant applicables à l'instance.
    • Type de source : Sélectionnez CIDR.
    • CIDR source : Entrez 0.0.0.0/0, ce qui indique que le trafic est autorisé en provenance de toutes les sources sur Internet.
    • Protocole IP : Sélectionnez TCP.
    • Intervalle de ports sources : Acceptez la valeur par défaut Tout.
    • Intervalle de ports de destination : Entrez 22, pour autoriser l'accès par SSH.
    • Description : Ajoutez une description facultative.
  2. Au bas de la boîte de dialogue, sélectionnez +Another Ingress Rule (Règle de trafic entrant) et entrez les valeurs d'une autre règle. Faites-le autant de fois que nécessaire, pour créer toutes les règles dont vous avez besoin, puis sélectionnez Ajouter des règles entrantes.

    Pour plus d'informations sur les intervalles de ports de destination de règle de trafic entrant et des exemples de règle, voir Intervalles de ports de destination de règle de trafic entrant

Intervalles de ports de destination de la règle de trafic entrant

Pour un jeu standard de règles de trafic entrant pour une grappe, créez des règles avec les intervalles de ports de destination spécifiés :
  • SSH - port 22
  • Apache Ambari - port 7183
  • Hue - port 8888
  • JupyterHub - port 8000
  • Gestionnaire de ressources Web - port 8090
  • Serveur d'historique Spark - port 18088

Création de règles de trafic sortant

Lors de la création d'une grappe, vous pouvez utiliser une passerelle NAT ou non. La sélection de cette option a une incidence sur le contrôle du trafic sortant.

  • Si vous sélectionnez l'option de passerelle NAT lors de la création d'une grappe, tous les noeuds ont un accès sortant complet à l'Internet public. Vous ne pouvez aucunement limiter cet accès (par exemple, en limitant le trafic sortant à quelques intervalles d'adresses IP seulement).

  • Si vous sélectionnez de ne pas créer de passerelle NAT lors de la création d'une grappe, vous pouvez en créer une sur le réseau VCN que vous utilisez pour accéder à la grappe. Vous pouvez aussi modifier les politiques de la passerelle NAT afin de limiter le trafic sortant aux intervalles d'adresses IP spécifiés.

  • Si vous mappez les adresses IP de machine virtuelle à des adresses IP publiques, aucune passerelle NAT n'est nécessaire.

Pour plus d'informations sur la création d'une règle de trafic sortant, voir Règles de sécurité.