Connexion à des noeuds de cluster avec des adresses IP privées
Par défaut, des adresses IP privées sont affectées aux noeuds de cluster. Ces derniers ne sont donc pas disponibles publiquement sur Internet. Vous pouvez les rendre disponibles par le biais de l'une des méthodes décrites dans les rubriques suivantes :
Mise en correspondance d'une adresse IP privée avec une adresse IP publique
Les noeuds Big Data Service se voient affecter par défaut des adresses IP privées, qui ne sont pas accessibles à partir du réseau Internet public. Une façon de rendre un noeud accessible à partir d'Internet consiste à mettre à correspondance son adresse IP privée avec une adresse IP publique.
Les instructions ci-dessous utilisent Oracle Cloud Infrastructure Cloud Shell, un terminal basé sur un navigateur Web accessible à partir de la console Oracle Cloud. Vous devez rassembler des informations sur votre réseau et vos noeuds de cluster, puis les transmettre aux commandes du shell. Pour effectuer cette tâche, vous devez disposer d'un cluster exécuté dans un réseau cloud virtuel de votre location ainsi que d'un sous-réseau public régional.
Pour afficher les informations sur le cluster, reportez-vous à Obtention des détails d'un cluster.
Privilèges IAM requis pour la mise en correspondance d'une adresse IP privée avec une adresse IP publique
Il s'agit de l'une des méthodes permettant d'attacher une adresse IP publique à un noeud. Cependant, nous ne recommandons pas d'utiliser cette méthode en raison de l'augmentation des risques d'attaque. Nous vous recommandons d'utiliser l'une des autres options :
Vous devez disposer des privilèges Oracle Cloud Infrastructure Identity and Access Management (IAM) appropriés pour mettre en correspondance des adresses IP privées avec des adresses IP publiques.
L'administrateur de location ou un administrateur délégué disposant des privilèges appropriés doit créer une stratégie conformément aux instructions suivantes.
Groupe
Cette stratégie peut affecter des privilèges à n'importe quel groupe Big Data Service afin d'autoriser les membres à mettre en correspondance des adresses IP.
Autorisations
vnic_read
private_ip_read
public_ip_read
public_ip_delete
public_ip_create
public_ip_update
private_ip_assign_public_ip
private_ip_unassign_public_ip
public_ip_assign_private_ip
public_ip_unassign_private_ip
Ressource
La stratégie doit indiquer l'élément tenancy
ou <compartment_name>
du compartiment contenant le sous-réseau utilisé pour les adresses IP.
Exemple
allow group bds_net_admins to vnic_read in tenancy
allow group bds_net_admins to private_ip_read in tenancy
allow group bds_net_admins to public_ip_read in tenancy
allow group bds_net_admins to public_ip_delete in tenancy
allow group bds_net_admins to public_ip_create in tenancy
allow group bds_net_admins to public_ip_update in tenancy
allow group bds_net_admins to private_ip_assign_public_ip in tenancy
allow group bds_net_admins to private_ip_unassign_public_ip in tenancy
allow group bds_net_admins to public_ip_assign_private_ip in tenancy
allow group bds_net_admins to public_ip_unassign_private_ip in tenancy
Mise en correspondance de l'adresse IP privée avec une adresse IP publique
Suppression d'une adresse IP publique
Ouverture des ports pour rendre les services disponibles
Il ne suffit pas de rendre le noeud public pour qu'un service comme Apache Ambari soit disponible à partir d'Internet. Vous devez également ouvrir le port du service en ajoutant une règle entrante à une liste de sécurité. Reportez-vous à Définition de règles de sécurité.
Utilisation d'un bastion pour la connexion à Big Data Service
Vous pouvez utiliser un bastion pour autoriser l'accès au réseau privé d'un cluster à partir du réseau Internet public.
Un bastion est une instance de calcul qui sert de point d'entrée public pour l'accès à un réseau privé à partir de réseaux externes comme Internet. Le trafic doit transiter par le bastion pour pouvoir accéder au réseau privé. Vous pouvez donc configurer des mécanismes de sécurité sur le bastion pour gérer ce trafic. Pour plus d'informations, reportez-vous à Bastion.
Utiliser un VPN site à site Oracle Cloud Infrastructure pour se connecter à Big Data Service
Un VPN site à site fournit un VPN IPSec site à site entre votre réseau sur site et votre réseau cloud virtuel (VCN). La suite de protocoles IPSec crypte le trafic IP avant le transfert des paquets de la source vers la destination. Elle décrypte ensuite le trafic à son arrivée.
Pour plus d'informations sur la connexion à Big Data Service via un VPN, reportez-vous à VPN site à site.
Utilisation d'Oracle Cloud Infrastructure FastConnect pour la connexion à Big Data Service
Utilisez FastConnect afin d'accéder aux services publics dans Oracle Cloud Infrastructure sans passer par Internet, par exemple pour accéder à Object Storage, ou à la console et aux API Oracle Cloud. Sans FastConnect, le trafic destiné aux adresses IP publiques serait acheminé via Internet. Avec FastConnect, le trafic passe par votre connexion physique privée.
Pour plus d'informations sur la connexion à Big Data Service via Oracle Cloud Infrastructure FastConnect, reportez-vous à Présentation de FastConnect.