Points d'accès de test virtuel (VTAP)

Un point d'accès de test virtuel (VTAP) permet de mettre en miroir le trafic d'une source sélectionnée vers une cible sélectionnée afin de faciliter le dépannage, l'analyse de la sécurité et la surveillance des données.

Il utilise un filtre de capture qui contient un ensemble de règles régissant le trafic mis en miroir par ce dernier. Par défaut, un point d'accès de test virtuel est défini sur STOPPED lors de sa création. Vous devez donc cliquer sur Start VTAP pour qu'il puisse mettre en miroir le trafic comme prévu.

Vous pouvez créer un filtre de capture pendant la création d'un point d'accès de test virtuel ou affecter un filtre de capture existant à un nouveau point d'accès de test virtuel.

Sources et cibles de point d'accès de test virtuel

La source de point d'accès VT est la ressource surveillée par ce dernier. Le trafic sur cette ressource est mis en miroir et envoyé à une cible choisie. La source et la cible de point d'accès de test virtuel doivent être hébergées dans le même réseau cloud virtuel. Elles peuvent se trouver dans différents compartiments ou sous-réseaux si vous disposez des droits d'accès requis pour visualiser et utiliser ces ressources. Les sources de point d'accès de VT peuvent être les suivantes :

Pour les instances Compute, indiquez l'OCID de la VNIC attachée. Pour les autres types de source, indiquez l'OCID de la ressource de service.

La cible est la ressource qui reçoit du trafic mis en miroir à partir d'un point d'accès de test virtuel. Les cibles de point d'accès VT peuvent être les suivantes :

Remarque

Lorsqu'une ressource utilisée comme source ou cible d'un point d'accès de test virtuel est supprimée, celui-ci ne peut plus fonctionner et la console le met en état arrêté. Pour redémarrer le PAV, choisissez une nouvelle ressource pour remplacer la ressource manquante.

Ce schéma présente un exemple d'implémentation de point d'accès de test virtuel.

Diagramme présentant un point d'accès de test virtuel avec une source et une cible.

Dans cet exemple, la machine virtuelle de Subnet-A envoie le trafic vers une autre machine virtuelle de Subnet-B. Le point d'accès de test virtuel de Subnet-A vérifie le trafic quittant la machine virtuelle. Etant donné que ce trafic correspond au filtre de capture utilisé, le point d'accès de VT met en miroir le trafic vers la cible (dans ce cas, un équilibreur de charge réseau de Subnet-C). L'ensemble de back-ends peut ensuite effectuer l'analyse appropriée sur le trafic mis en miroir.

Filtres et règles de capture

Les règles de filtre de capture permettent de sélectionner ce qui est inclus dans le trafic mis en miroir de la source à la cible. De nombreux points d'accès de test virtuel peuvent employer un même filtre de capture. La modification des règles d'un filtre de capture a une incidence sur tous les points d'accès de test virtuel qui l'utilisent. Un filtre de capture doit comporter entre une et dix règles. Les règles de filtre de capture sont examinées dans l'ordre que vous définissez. Lorsqu'une correspondance est trouvée, la règle concernée est appliquée. Si aucune correspondance n'est trouvée pour une règle particulière, la règle suivante est évaluée et exécutée en cas de correspondance. La réorganisation des règles peut modifier le comportement du filtre de capture.

Un filtre de capture peut effectuer une action (inclure ou exclure un paquet) en fonction des types de critère suivants :

  • Le paquet fait partie du trafic entrant ou sortant.
  • Le paquet part vers un bloc CIDR IPv4 ou un préfixe IPv6 source ou de destination spécifique, ou en provient.
  • Le paquet utilise un paramètre de protocole IP spécifique (plage de ports TCP ou UDP, ICMP, ICMPv6) utilisé par le trafic ou n'importe quel protocole (avec la valeur par défaut, Tout).

Si une règle n'indique ni protocole IP, ni préfixe, ni bloc CIDR, l'ensemble des protocoles ou des adresses IP sont acceptés pour cette règle.

Voici un exemple pratique de la manière dont vous pouvez structurer un ensemble de règles. L'objectif est d'inclure tout le trafic provenant de 10.1.0.0/16 sauf de 10.1.1.1, qui est exclu :

  1. CIDR source : 10.1.1.1/32, Exclure
  2. CIDR source : 10.1.0.0/16, Inclure
  3. CIDR source : 10.1.1.0/24, Inclure

Le filtre de capture évalue chaque paquet du trafic par rapport aux règles, dans l'ordre défini. Les paquets provenant de 10.1.1.1 correspondent à la première règle et sont exclus du trafic mis en miroir. Le paquet n'est pas comparé aux autres règles de l'ensemble. L'ensemble de règles fonctionne comme prévu.

Si la première règle est mise en troisième position, l'ensemble de règles ne fonctionne plus comme prévu :

  1. CIDR source : 10.1.0.0/16, Inclure
  2. CIDR source : 10.1.1.0/24, Inclure
  3. CIDR source : 10.1.1.1/32, Exclure

Etant donné que le filtre de capture évalue chaque paquet du trafic par rapport aux règles dans l'ordre défini, les paquets provenant de 10.1.1.1 correspondent désormais à la première règle et sont inclus dans le trafic mis en miroir. Les autres évaluations de règle sont ignorées. Cet exemple utilise des blocs CIDR, mais les règles sont évaluées de la même manière, quel que soit le type de source sélectionné.

Pour plus d'informations, reportez-vous à Filtres de capture.

Fonctions de point d'accès de test virtuel avancées

Identificateur réseau VXLAN (VNI) : entrez un identificateur permettant d'identifier de manière unique le tunnel d'encapsulation VXLAN. Si vous n'indiquez pas de VNI, un VNI est automatiquement généré pour vous.

Taille maximale de paquet : vous pouvez indiquer une taille maximale de paquet comprise entre 64 et 9000 octets. Pour obtenir de meilleures performances ou une assimilation efficace sur la cible, vous pouvez tronquer les paquets mis en miroir sur une longueur inférieure. Un point d'accès de test virtuel fonctionne avec la MTU de 9000 octets définie sur toutes les cartes d'interface réseau d'instance. Cependant, en raison de la surcharge liée à l'encapsulation (VxLAN), la MTU sur les cartes d'interface réseau virtuelles d'instance qui sont des sources de VTAP doit prendre en compte la MTU cible moins la surcharge d'encapsulation. Pour éviter toute troncature de paquet dans les paquets capturés par le point d'accès de test virtuel, la MTU des interfaces d'instance source doit être définie sur 8950 ou une valeur inférieure pour IPv4, ou sur 8930 ou une valeur inférieure pour IPv6. Nous recommandons que les cartes réseau de toutes les instances cible soient définies pour utiliser une MTU de 9000 octets (valeur par défaut dans les images Oracle standard).
Remarque

Si un tel point d'accès est activé sur une source prise en charge particulière, la surcharge générée par la mise en miroir des paquets consomme de la bande passante réseau. La capacité de bande passante réseau est déterminée par la forme sous-jacente de l'instance à laquelle une VNIC est attachée. Un point d'accès de test virtuel est implémenté sur la carte d'interface réseau virtuelle.

Si vous utilisez plus de 30 % de la bande passante réseau disponible prise en charge par le service et que vous souhaitez activer un point d'accès de VTAP, nous vous recommandons de mettre à niveau la forme de service sous-jacente.

Vous pouvez également spécifier une taille de paquet maximale plus petite lorsque vous configurez un point d'accès de test virtuel pour utiliser une MTU inférieure ou égale à 1500 afin d'obtenir de meilleures performances globales et une meilleure utilisation de la bande passante.

Pour les paquets mis en miroir tronqués, les paramètres d'en-tête de paquet de la charge utile tels que la longueur et le checksum ne sont pas mis à jour.

Mode de priorité : l'utilisation de cette option donne la même priorité au trafic surveillé et mis en miroir en cas d'engorgement au niveau de la source. Par défaut, le trafic de production est prioritaire par rapport au trafic mis en miroir par le point d'accès de test virtuel. Lorsque vous activez le mode de priorité, le trafic surveillé et le trafic mis en miroir par le VTAP ont la même priorité. Lorsque cette option est sélectionnée, le trafic mis en miroir peut entraîner la suppression d'une partie du trafic surveillé en cas de congestion de la source. Si une telle perte de paquets est détectée, vous pouvez désactiver le mode de priorité ou mettre à niveau les formes de source pour disposer de davantage de bande passante.

Exigences et préparation

L'implémentation d'un point d'accès de test virtuel requiert au moins une source et une cible valides, situées dans le même réseau cloud virtuel. Ces ressources doivent exister avant que vous ne créiez un point d'accès de test virtuel. La cible peut se trouver dans un sous-réseau différent de celui de la source.

Dépendances

L'utilisation des points d'accès de test virtuel nécessite de comprendre certaines dépendances cruciales :

  • Un point d'accès de test virtuel doit toujours avoir une source, une cible et un filtre de capture associé.
  • Un filtre de capture doit toujours être associé à au moins une règle.
  • Une carte d'interface réseau virtuelle ne peut jamais être la source de plusieurs points d'accès de test virtuel. Pour plus d'informations, reportez-vous à Sources et cibles de point d'accès de test virtuel.

Vous pouvez voir les comportements attendus suivants :

  • Vous ne pouvez pas créer de point d'accès de test virtuel sans choisir de source et de cible, et sans l'associer à un filtre de capture existant. Vous pouvez modifier le filtre de capture associé au point d'accès de test virtuel. Vous ne pouvez jamais avoir de point d'accès de test virtuel sans filtre de capture associé.
  • Vous ne pouvez pas supprimer un filtre de capture associé à un point d'accès de test virtuel. Pour supprimer un filtre de capture utilisé par des points d'accès de test virtuel, vous devez d'abord leur associer un autre filtre de capture.
  • Vous ne pouvez pas créer de filtre de capture vide, ni modifier un filtre de capture pour ne plus contenir de règles.
  • Si la source ou la cible d'un point d'accès de test virtuel est supprimée, ce dernier prend automatiquement l'état STOPPED. Afin de redémarrer un point d'accès de test virtuel arrêté pour cette raison, modifiez-le pour lui affecter une nouvelle source ou cible valide. Le point d'accès de test virtuel reprend alors l'état RUNNING.

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit être membre d'un groupe auquel un administrateur de location a accordé un accès de sécurité dans une stratégie . Cet accès est requis, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil. Si un message vous informe que vous n'avez pas d'autorisation ou que vous n'êtes pas autorisé, vérifiez auprès de l'utilisateur le type d'accès qui vous est accordé et le compartiment dans lequel vous travaillez.

Pour les administrateurs : reportez-vous à Stratégies IAM pour Networking.

Limites relatives aux ressources IAM

Pour obtenir la liste des limites applicables et des instructions permettant de demander une augmentation de limite, reportez-vous à Limites de service. Pour définir des limites spécifiques à un compartiment sur une ressource ou une famille de ressources, les administrateurs peuvent utiliser des quotas de compartiment.

Pour obtenir la liste des limites propres à ce service, reportez-vous à Limites VTAP.

Solutions partenaires Oracle validées

Certains membres d'Oracle Partner Network (OPN) proposent des solutions vérifiées disponibles sur Oracle Marketplace qui fonctionnent avec les points d'accès de test virtuel. Vous pouvez déployer ces solutions lorsque vous utilisez un PDV pour envoyer le trafic mis en miroir vers une cible Equilibreur de charge réseau.

Remarque

Vous pouvez utiliser d'autres solutions avec les points d'accès de test virtuel, mais celles-ci sont validées par Oracle.

Tâches du point d'accès de test virtuel