Règles de sécurité de VCN requises
Avant de créer et de monter un système de fichiers File Storage with Lustre, vous devez configurer des règles de sécurité pour autoriser le trafic vers le système de fichiers à l'aide de protocoles et de ports spécifiques. Un système de fichiers Lustre nécessite une connectivité entre ses hôtes et une connectivité avec le client.
Lustre utilise le protocole LNet et les pilotes de réseau pour communiquer sur différents types de réseau. Par défaut, File Storage with Lustre utilise un pilote qui utilise le port TCP 988 pour créer des connexions.
Pare-feu du système d'exploitation
Un client Lustre installé sur Oracle Linux ou Ubuntu est soumis aux pare-feu locaux de ces systèmes d'exploitation. En plus des règles de sécurité de VCN suivantes, assurez-vous que les pare-feu du système d'exploitation ne bloquent pas le trafic sur le port TCP 988. Les clients Lustre utilisent le port pour parler et écouter, de sorte que le port doit être ouvert pour la communication bidirectionnelle.
Pour tester la connectivité, un pare-feu local peut être temporairement arrêté et ses règles sont vidées afin d'éviter toute interférence avec le client Lustre. Respectez toujours les meilleures pratiques en matière de sécurité. Si vous avez des questions, communiquez avec le soutien technique.
Option 1 : Client et Lustre dans différents sous-réseaux
Dans ce scénario, le système de fichiers se trouve dans un sous-réseau différent de celui du client. Les règles de sécurité doivent être configurées pour le système de fichiers et le client dans une liste de sécurité pour chaque sous-réseau ou un groupe de sécurité de réseau pour chaque ressource.
Configurez les règles de sécurité suivantes pour le système de fichiers Lustre :
- Trafic entrant avec état depuis les ports sources CIDR du client et du sous-réseau Lustre 512-1023 vers le port de destination 988, protocole TCP.
- Trafic sortant avec état des ports sources 512-1023 vers Lustre et le port CIDR du sous-réseau client 988, protocole TCP.
Ensuite, configurez les règles de sécurité suivantes pour le client :
- Trafic entrant avec état depuis les ports sources CIDR du sous-réseau Lustre 512-1023 vers le port de destination 988, protocole TCP.
- Trafic sortant avec état depuis les ports sources 512-1023 vers le port CIDR de sous-réseau Lustre 988, protocole TCP.
Option 2 : Client et Lustre dans le même sous-réseau
Dans ce scénario, le système de fichiers se trouve dans le même sous-réseau que le client. Les règles de sécurité doivent être configurées dans une liste de sécurité pour chaque sous-réseau ou un groupe de sécurité de réseau pour chaque ressource :
- Trafic entrant avec état depuis les ports sources CIDR du sous-réseau 512-1023 vers le port de destination 988, protocole TCP.
- Trafic sortant avec état depuis les ports sources 512-1023 vers le port CIDR de sous-réseau 988, protocole TCP.
Méthodes d'activation des règles de sécurité de réseau VCN
Le service de réseau offre deux fonctions de pare-feu virtuel qui utilisent toutes deux des règles de sécurité pour contrôler le trafic au niveau du paquet. Les deux fonctions sont les suivantes :
- Groupes de sécurité de réseau (NSG) (recommandé) : Fonction conçue pour les composants d'application ayant des postures de sécurité différentes. Créez un groupe de sécurité de réseau contenant les règles requises, puis ajoutez le système de fichiers au groupe de sécurité de réseau. Sinon, vous pouvez ajouter les règles requises à un groupe de sécurité de réseau existant, puis ajouter le système de fichiers au groupe. Chaque système de fichiers peut appartenir jusqu'à cinq (5) groupes de sécurité de réseau.
- Listes de sécurité : Fonctionnalité de pare-feu virtuel initiale du service de réseau. Lorsque vous créez un réseau VCN, une liste de sécurité par défaut est également créée. Ajoutez les règles requises à la liste de sécurité pour le sous-réseau qui contient le système de fichiers.
Vous pouvez utiliser des groupes de sécurité de réseau seuls, des listes de sécurité seules ou les deux ensemble. Tout dépend de vos besoins en matière de sécurité. Si vous utilisez à la fois des listes de sécurité et des groupes de sécurité de réseau, le jeu de règles qui s'applique à une carte VNIC particulière est la combinaison de ces éléments :
- Les règles de sécurité dans les listes de sécurité associées au sous-réseau de la carte vNIC
- Les règles de sécurité dans tous les groupes de sécurité de réseau dans lesquels figure la carte vNIC
Peu importe la méthode utilisée pour appliquer les règles de sécurité à la carte VNIC du système de fichiers, dans la mesure où les ports des protocoles nécessaires pour File Storage with Lustre sont configurés correctement dans les règles appliquées.
Voir Règles de sécurité, Listes de sécurité, et Groupes de sécurité de réseau pour obtenir plus d'informations, des exemples et des scénarios sur la façon dont ces fonctionnalités interagissent dans votre réseau. La rubrique Aperçu du service de réseau fournit des informations générales sur le service de réseau.