Documentation Oracle Cloud Infrastructure

Définition de règles de sécurité

Un administrateur doit configurer des règles de sécurité afin de contrôler le trafic réseau vers et depuis les ressources Big Data Service.

Arrière-plan

Dans Oracle Cloud Infrastructure, vous pouvez utiliser deux types de pare-feu virtuel pour contrôler le trafic à destination et en provenance de vos ressources cloud. Les listes de sécurité comprennent des règles de sécurité qui s'appliquent à l'ensemble d'un sous-réseau. Les groupes de sécurité réseau comprennent des règles de sécurité qui s'appliquent à un ensemble défini de ressources organisées en groupes. Les groupes de sécurité réseau offrent un contrôle plus précis, tandis que les listes de sécurité sont plus faciles à configurer et à tenir à jour.

Les listes de sécurité et les groupes de sécurité réseau contiennent tous deux des règles de sécurité. Une règle de sécurité autorise un type de trafic spécifique vers ou depuis une carte d'interface réseau virtuelle.

Remarque

Une carte d'interface réseau virtuelle est un composant réseau qui permet à une ressource mise en réseau, telle qu'une instance (un noeud dans Big Data Service), de se connecter à un réseau cloud virtuel. La carte d'interface réseau virtuelle détermine le mode de connexion de l'instance aux adresses situées à l'intérieur et à l'extérieur du réseau cloud virtuel. Chaque carte d'interface réseau virtuelle réside dans un sous-réseau de réseau cloud virtuel. Une liste de sécurité permet de définir un ensemble de règles de sécurité qui s'appliquent à toutes les cartes d'interface réseau virtuelles d'un sous-réseau. Un groupe de sécurité réseau permet de définir un ensemble de règles de sécurité qui s'appliquent à un groupe de cartes d'interface réseau virtuelles que vous définissez.

Il est important de comprendre le rôle des cartes d'interface réseau virtuelles dans votre architecture réseau, mais, dans le cadre de la présente documentation, nous aborderons simplement le fonctionnement des règles de sécurité dans les réseaux cloud virtuels et les sous-réseaux.

Pour plus d'informations, reportez-vous à Règles de sécurité.

Création de règles de sécurité dans des listes de sécurité

En règle générale, Big Data Service utilise des listes de sécurité. Vous créez alors des règles de sécurité pour un sous-réseau et ces règles s'appliquent à tous les clusters de ce sous-réseau. Les instructions suivantes vous montrent comment créer des règles de sécurité dans une liste de sécurité définie pour le sous-réseau utilisé par votre cluster.

Une liste de sécurité permet de définir aussi bien des règles entrantes (pour le trafic entrant) que des règles sortantes (pour le trafic sortant).

Chaque règle de sécurité spécifie les éléments suivants :
  • Direction (entrée ou sortie)
  • Avec ou sans état
  • Type de source et source (règles entrantes uniquement)

Pour obtenir une documentation complète sur les règles de sécurité, reportez-vous à Parties d'une règle de sécurité.

Les sections suivantes contiennent des détails spécifiques sur la création de règles entrantes et sortantes pour les clusters Big Data Service.

Création de règles entrantes (et ouverture des ports)

Vous devez ouvrir certains ports sur les clusters Big Data Service pour permettre l'accès à des services comme Apache Ambari, Hue et JupyterHub. Configurez ces ports dans les règles de sécurité entrantes qui s'appliquent au cluster.

Pour plus d'informations sur la création d'une règle entrante, reportez-vous à Règles de sécurité avec le contenu suivant propre à Big Data Service :
  1. Dans la boîte de dialogue Ajouter des règles entrantes, définissez les options suivantes afin d'ouvrir le port 22 pour l'accès SSH (s'il n'est pas déjà ouvert) :
    • Stateless : ne cochez pas cette case. La conservation de statut sera ainsi activé pour la règle, ce qui signifie que toute réponse au trafic entrant est acceptée par l'hôte d'origine, quelles que soient les règles sortantes applicables à l'instance.
    • Type de source : sélectionnez CIDR.
    • CIDR source : entrez 0.0.0.0/0 pour indiquer que le trafic en provenance de toutes les sources sur le réseau Internet est autorisé.
    • Protocole IP : sélectionnez TCP.
    • Plage de ports source : acceptez la valeur Tout par défaut.
    • Plage de ports de destination : entrez 22 pour autoriser l'accès via SSH.
    • Description : ajoutez une description facultative.
  2. En bas de la fenêtre de dialogue, sélectionnez +Another Règle entrante, puis saisissez les valeurs d'une autre règle. Répétez cette opérations autant de fois que nécessaire pour créer toutes les règles dont vous avez besoin, puis sélectionnez Ajouter des règles entrantes.

    Pour plus d'informations sur les plages de ports de destination de règle entrante et des exemples de règle, reportez-vous à Plages de ports de destination de règle entrante.

Plages de ports de destination de règle entrante

Afin d'obtenir un ensemble standard de règles entrantes pour un cluster, créez des règles avec les plages de ports de destination indiquées :
  • SSH : port 22
  • Apache Ambari : port 7183
  • Hue : port 8888
  • JupyterHub : port 8000
  • Gestionnaire de ressources Web : port 8090
  • Serveur d'historique Spark : port 18088

Création de règles sortantes

Lors de la création d'un cluster, vous avez la possibilité d'utiliser une passerelle NAT. La sélection de cette option a une incidence sur la façon dont vous pouvez contrôler le trafic sortant.

  • Si vous sélectionnez l'option de passerelle NAT lors de la création d'un cluster, tous les noeuds bénéficient d'un accès sortant complet au réseau Internet public. Il n'est pas possible de limiter l'accès de quelque façon que ce soient (en limitant la sortie à quelques plages d'adresses IP uniquement, par exemple).

  • Si vous choisissez de ne pas créer de passerelle NAT lors de la création d'un cluster, vous pouvez créer une passerelle NAT sur le VCN que vous utilisez pour accéder au cluster. Vous pouvez également modifier les stratégies de cette passerelle NAT pour limiter la sortie aux plages d'adresses IP indiquées.

  • Si vous mettez les adresses IP de machine virtuelle en correspondance avec des adresses IP publiques, aucune passerelle NAT n'est nécessaire.

Pour plus d'informations sur la création d'une règle sortante, reportez-vous à Règles de sécurité.