Archiver le trafic réseau en miroir vers le stockage d'objets OCI

Le point d'accès de test virtuel (VTAP) d'Oracle Cloud Infrastructure est un service de mise en miroir du trafic réseau qui saisit une copie du trafic réseau à partir d'une source spécifiée, applique des filtres pour se concentrer sur les données pertinentes et les envoie à une cible pour analyse. Cela vous permet d'améliorer le dépannage réseau, la surveillance de la sécurité, l'analyse des performances réseau et la vérification de la conformité.

Architecture

Cette architecture montre comment vous pouvez utiliser Oracle Cloud Infrastructure (OCI) pour archiver votre trafic en miroir du VTAP vers le stockage d'objets OCI.

L'archivage du trafic réseau peut être nécessaire pour des raisons de conformité. En outre, l'archivage du trafic réseau présente des avantages lors du dépannage de problèmes réseau insaisissables ou intermittents. Vous pouvez analyser sélectivement la capture réseau du trafic de production passé, au besoin.

Le diagramme suivant illustre cette architecture de référence.

Description de l'illustration oci-vtap-archiver.png

oci-vtap-archiver-oracle.zip

À titre d'illustration, un serveur Web HTTP simple se trouve dans un sous-réseau public avec ses clients dans le premier sous-réseau privé. Les clients utilisent la commande HTTP GET curl pour télécharger des fichiers à partir du serveur de fichiers HTTP. Ces clients sont définis en tant que sources VTAP dans cette illustration. Nous mettons en miroir uniquement le trafic HTTP avec VTAP. L'équilibreur de charge de réseau OCI reçoit le trafic en miroir du VTAP et l'équilibre entre ses noeuds de serveur dorsal. Ces noeuds dorsaux chargent ensuite la saisie de réseau dans le stockage d'objets OCI. Vous pouvez éventuellement avoir des serveurs Web ou une instance de base de données comme source de votre configuration de VTAP dans votre environnement. Le reste de la conception restera généralement le même dans votre mise en œuvre.

Les lignes verticales en pointillés entre les composants suivants indiquent que des flux VTAP supplémentaires sont configurables : Client 1 vers le client #n, agissant en tant que sources VTAP, et VTAP Sink 1 vers VTAP Sink #m, noeuds effectuant l'archivage vers le stockage d'objets OCI.

La configuration Terraform créera un VCN avec les trois sous-réseaux suivants :

• Sous-réseau public : Contient un hôte unique, qui agit à la fois comme serveur de fichiers HTTP et comme boîte de saut pour accéder aux noeuds des deux sous-réseaux privés. Vous aurez peut-être besoin d'une boîte de saut ou d'un serveur bastion dans un sous-réseau public de votre environnement de production pour accéder aux noeuds d'un sous-réseau privé à des fins de dépannage ou de maintenance.
• Sous-réseau privé : héberge les noeuds qui téléchargent un fichier fictif à partir du serveur de fichiers HTTP pour créer le trafic HTTP. Ces noeuds servent de sources pour le VTAP, et leur trafic est mis en miroir par le VTAP avec un filtre de capture approprié. Ces noeuds seront référencés en tant que noeuds Source du VTAP. Chaque noeud source du VTAP possède son propre VTAP distinct.
• Sous-réseau privé : Contient un équilibreur de charge de réseau qui agit comme cible pour les VTAP. L'équilibreur de charge de réseau flexible OCI comporte des noeuds dorsaux qui effectuent la saisie du réseau du trafic VTAP en tant que fichiers pcap et les archivent dans un seau. Nous appelons ces noeuds évier VTAP. Les noeuds de l'évier VTAP et l'équilibreur de charge de réseau résident dans le même sous-réseau privé.

Le VTAP est configuré avec un filtre de saisie pour saisir uniquement le trafic réseau des demandes HTTP GET déclenchées par ces sources de VTAP vers le serveur de fichiers HTTP de notre sous-réseau public. Le VTAP est défini sur la carte VNIC principale des noeuds sources du VTAP.

Vous pouvez choisir la région et le compartiment pour votre déploiement. Toutes les ressources sont créées dans la région et le compartiment spécifiés. Le seau de stockage d'objets OCI pour archiver les fichiers pcap est également créé.

L'architecture comprend les composants suivants :

• Région

  Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres, et de grandes distances peuvent les séparer (dans différents pays ou continents).

• Réseau en nuage virtuel (VCN) et sous-réseau

  Un VCN est un réseau défini par logiciel personnalisable que vous avez configuré dans une région Oracle Cloud Infrastructure. Comme les réseaux en nuage virtuels traditionnels, ils vous offrent un contrôle sur votre environnement de réseau. Un VCN peut disposer de plusieurs blocs CIDR sans chevauchement que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, dont la portée peut concerner une région ou un domaine de disponibilité. Un sous-réseau est constitué d'un intervalle contigu d'adresses qui ne chevauchent pas les autres sous-réseaux dans le réseau en nuage virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

• VTAP

  Un point d'accès de test virtuel (VTAP) permet de mettre en miroir le trafic d'une source désignée vers une cible sélectionnée pour faciliter le dépannage, les analyses de sécurité et la surveillance des données.

• Équilibreur de charge de réseau (NLB)

  L'équilibreur de charge de réseau flexible d'OCI permet une répartition automatisée du trafic d'un point d'entrée vers plusieurs serveurs dans un jeu dorsal. Les équilibreurs de charge de réseau garantissent la disponibilité continue de vos services en dirigeant le trafic uniquement vers des serveurs sains en fonction des données de couche 3/de couche 4 (protocole IP). Ici, nous utilisons l'équilibreur de charge de réseau flexible OCI pour équilibrer la charge du trafic UDP VXLAN vers les noeuds de l'évier VTAP.

• Stockage d'objets

  Le service de stockage d'objets pour Oracle Cloud Infrastructure offre un accès rapide à de grandes quantités de données structurées et non structurées de tous types, notamment des sauvegardes de base de données, des données analytiques et du contenu riche, comme des images et des vidéos. Vous pouvez stocker des données en toute sécurité, puis les extraire directement à partir d'Internet ou de la plate-forme en nuage. Vous pouvez adapter le stockage sans que la performance ou la fiabilité des services soit affectée. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archives pour le stockage "à froid" que vous retenez pendant de longues périodes et auquel vous accédez rarement.

• Passerelle de service

  La passerelle de service fournit l'accès d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic entre le réseau VCN et le service Oracle circule sur la matrice réseau Oracle et ne passe pas par Internet.

• Passerelle Internet

  La passerelle Internet permet le trafic entre les sous-réseaux publics d'un VCN et l'Internet public.

Recommandations

Utilisez les recommandations suivantes comme point de départ. Vos exigences peuvent différer de l'architecture décrite ici.

• VCN

  Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux du VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adresses IP privées standard.

  Sélectionnez les blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur place ou un autre fournisseur de nuage) auquel vous voulez configurer des connexions privées.

  Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

  Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

  Utilisez des sous-réseaux régionaux.

• Limites de connexion de l'équilibreur de charge de réseau

  L'équilibreur de charge de réseau OCI L3/L4 est un service gratuit qui s'adapte automatiquement de manière dynamique en fonction du trafic. La limite de connexions concurrentes pour les équilibreurs de charge de réseau est fixée par défaut à 330 000 connexions par domaine de disponibilité. Dans trois régions de domaine de disponibilité, par défaut, la limite de connexions concurrentes pour les équilibreurs de charge de réseau est fixée à un million.

• Listes de sécurité

  Utilisez des listes de sécurité pour définir des règles de trafic entrant et sortant qui s'appliquent à l'ensemble du sous-réseau.

• Groupes de sécurité de réseau

  Vous pouvez utiliser des groupes de sécurité de réseau pour définir un jeu de règles de trafic entrant et sortant qui s'appliquent à des cartes vNIC spécifiques. Nous vous recommandons d'utiliser des groupes plutôt que des listes de sécurité, car ils vous permettent de séparer l'architecture de sous-réseau du VCN des exigences de sécurité de votre application.

• Voir le fichier vtap.tf dans GitHub pour plus de détails sur le filtre de saisie.
• Consultez le fichier cloud_init/vtap_sink.yml pour plus de détails sur la configuration de tcpdump et sur le fonctionnement de la décapsulation du trafic en miroir encapsulé VXLAN.

Points à considérer

Lors de l'implémentation de cette solution, tenez compte des éléments suivants :

• Trafic de protocole Internet

  Cette solution est développée et testée uniquement pour le trafic IPv4.

• Permissions

  Vous devez disposer des autorisations Oracle Cloud Infrastructure Identity and Access Management requises pour le compartiment et la région sélectionnés, pour créer toutes les ressources OCI nécessaires pour ce déploiement.

• Paramètres configurables

  Consultez le fichier variables.tf pour voir tous les paramètres configurables.

• Sources et règles du VTAP
  • Un VTAP doit toujours avoir une source, une cible et un filtre de saisie associé.
  • Une règle au moins doit toujours être associée à un filtre de saisie.
  • Une carte VNIC ne peut jamais être la source de plus d'un VTAP.

Déployez

Téléchargez le code à partir de GitHub, personnalisez-le et déployez-le. Terraform configurera toutes les ressources requises dans votre location OCI.

Vous pouvez utiliser un déploiement en un clic à l'aide du gestionnaire de ressources OCI ou télécharger du code à déployer à partir d'un ordinateur de développement local.

Les liens sont disponibles sur GitHub.

1. Allez à GitHub.
2. La section Deploy du document README s'affiche.
3. Suivez les instructions du document README.

Informations complémentaires

En savoir plus sur Oracle Cloud Infrastructure et la mise en miroir de réseau :

Vérifiez les ressources supplémentaires suivantes :

• Points d'accès de test virtuel (documentation d'OCI)
• Sources et cibles de VTAP (documentation OCI)
• Journaux de flux VCN (Documentation OCI)
• Documentation sur Oracle Cloud Infrastructure
• Cadre des meilleures pratiques pour Oracle Cloud Infrastructure
• Estimateur de coûts d'Oracle Cloud
• Cadre d'adoption d'environnement en nuage

Confirmation

• Auteur : Mayur Raleraskar