Matrice des ports et protocoles de réseau
Compute Cloud@Customer nécessite l'octroi d'autorisations d'accès pour certaines adresses IP, ports et protocoles.
La sécurité par défaut de presque tous les pare-feu consiste à refuser l'accès. Cela s'applique aux pare-feu utilisés entre le bâti Compute Cloud@Customer et le centre de données du client.
Pour que certaines fonctionnalités de Compute Cloud@Customer fonctionnent correctement, l'accès doit être accordé pour certaines adresses IP et les services connexes. Une règle "allow all" telle que 0.0.0.0/0 est trop large à des fins de sécurité, de sorte que la meilleure pratique consiste à lister explicitement les adresses, les ports et les protocoles à autoriser.
Compute Cloud@Customer est installé avec des connexions à différents réseaux à des fins différentes (voir Exigences relatives au réseau du site du client). À des fins de sécurité, Compute Cloud@Customer isole le réseau d'administration du réseau de données du client.
Lors de l'installation de Compute Cloud@Customer, Oracle configure les réseaux isolés et collabore avec votre administrateur réseau pour configurer les ports réseau afin qu'ils fonctionnent dans votre environnement.
Le tableau suivant répertorie les autorisations d'accès pour certaines adresses IP, certains ports et certains protocoles qui sont accordés pour l'isolement du centre de données et du réseau d'administration.
Clé de table :
- Client - Accès administrateur client pour la gestion des ressources Compute Cloud@Customer
- Oracle – Accès administrateur Oracle, qui n'est accessible qu'à Oracle lorsqu'un accès est accordé par le client à l'aide du contrôle de l'accès des opérateurs Oracle.
| Adresse IP source |
Adresse IP de destination |
Port |
Protocole |
Description |
|---|---|---|---|---|
| Tous les réseaux clients | Adresse VIP du client | ICMP | Type 0/Réponse d'écho | |
| Administrateurs Oracle | Adresse IP virtuelle Oracle | ICMP | Type 0/Réponse d'écho | |
| Tous les réseaux clients | Noeuds de gestion | ICMP | Type 0/Réponse d'écho | |
| Tous les réseaux clients | Adresse IP du stockage d'objets | ICMP | Type 0/Réponse d'écho | |
| Tous les réseaux clients | Adresse VIP du client | ICMP | Type 3/Inaccessible | |
| Administrateurs Oracle | Adresse IP virtuelle Oracle | ICMP | Type 3/Inaccessible | |
| Tous les réseaux clients | Noeuds de gestion | ICMP | Type 3/Inaccessible | |
| Tous les réseaux clients | Adresse IP du stockage d'objets | ICMP | Type 3/Inaccessible | |
| Tous les réseaux clients | Adresse VIP du client | ICMP | Type 8/ping à VIP | |
| Administrateurs Oracle | Adresse IP virtuelle Oracle | ICMP | Type 8/ping à VIP | |
| Administrateurs Oracle | Noeuds de gestion | ICMP | Type 8/ping au noeud | |
| Tous les réseaux clients | Adresse IP du stockage d'objets | ICMP | Type 8/ping à VIP | |
| Administrateurs Oracle | Adresse IP virtuelle Oracle | 22 | TCP | SSH vers le noeud de gestion actif |
| Administrateurs Oracle | Noeuds de gestion | 22 | TCP | SSH vers un noeud de gestion spécifique |
| IP DNS d'installation initiale | Adresse VIP du client | 53 | UDP | Zones faisant autorité |
| IP DNS d'installation initiale | Adresse VIP du client | 53 | TCP | Zones faisant autorité |
| IP DNS d'installation initiale | Adresse IP virtuelle Oracle | 53 | UDP | Zone administrative |
| Installation initiale AdminDNS IPs | Adresse IP virtuelle Oracle | 53 | TCP | Zone administrative |
| Noeuds de gestion | IP DNS d'installation initiale | 53 | UDP | Résolution DNS externe pour le réseau de données |
| Noeuds de gestion | IP DNS d'installation initiale | 53 | TCP | Résolution DNS externe pour le réseau de données |
| Noeuds de gestion | Installation initiale AdminDNS IPs | 53 | UDP | Résolution DNS externe pour le réseau d'administration |
| Noeuds de gestion | Installation initiale AdminDNS IPs | 53 | TCP | Résolution DNS externe pour le réseau d'administration |
| Administrateurs Oracle | Adresse IP virtuelle Oracle | 443 | TCP | Points d'extrémité et interface utilisateur d'API Oracle |
| Tous les utilisateurs de Compute Cloud@Customer | Adresse VIP du client | 443 | TCP | Points d'extrémité d'API Compute Cloud@Customer et interface utilisateur BUI |
| Tous les utilisateurs de Compute Cloud@Customer | Adresse VIP du client | 8,079 | TCP | Référentiel de téléchargement d'image |
| Administrateurs Oracle | Adresse IP virtuelle Oracle | 30,006 | TCP | Interface de ligne de commande d'administration |
| Administrateurs Oracle | Noeuds de gestion | 30,006 | TCP | Interface de ligne de commande d'administration |
| Adresse VIP du client | Serveurs récursifs DNS | 53 | UDP | Transmission DNS |
| Adresse VIP du client | Serveurs récursifs DNS | 53 | TCP | Transmission DNS |
| Adresse IP virtuelle Oracle | Serveurs récursifs DNS | 53 | UDP | Transmission DNS |
| Adresse IP virtuelle Oracle | Serveurs récursifs DNS | 53 | TCP | Transmission DNS |
| Adresse IP virtuelle Oracle | Serveurs NTP du client | 123 | UDP | PNB |
| Adresse IP virtuelle Oracle | Habituellement transport.oracle.com | 443 | TCP | Cibles ASR |
| Adresse IP virtuelle Oracle | Cibles d'avis Oracle Grafana | 443 | TCP | Cibles d'avis Grafana |
| Adresse IP virtuelle Oracle | Miroir ULN local d'Oracle | 443 | TCP | application de correctifs |
| Adresse VIP du client | Référentiel d'images local | 443 | TCP | Importation d'image personnalisée depuis-objet-uri |
| Noeuds de gestion | Adresse IP publique de l'équilibreur de charge | 6,443 | TCP | Point d'extrémité d'adresse IP publique de l'équilibreur de charge |
|
Tous les réseaux de clients |
Console d'instance | 1,443 | TCP | Connexions à la console d'instance |