Documentation Oracle Cloud Infrastructure

Création de ressources réseau

Pour pouvoir créer et utiliser des clusters Big Data Service, vous devez tout d'abord créer et configurer un réseau. Le service Oracle Cloud Infrastructure Networking fournit une large gamme de fonctionnalités permettant d'établir une topologie réseau sécurisée pour Big Data Service.

Pour consulter la documentation complète d'Oracle Cloud Infrastructure Networking, reportez-vous à Présentation de Networking, ainsi qu'aux rubriques suivantes relatives aux fonctions de réseau dans la documentation Oracle Cloud Infrastructure. Les sections suivantes décrivent les détails de réseau propres à Big Data Service.

Terminologie

Le terme réseau fait référence à un réseau cloud virtuel (VCN) ou à un sous-réseau dans un VCN. Lorsque la différence est pertinente, le VCN ou le sous-réseau est utilisé.

L'instance, l'hôte et le noeud sont utilisés de manière interchangeable. Toutefois, comme les hôtes qui composent un cluster Hadoop sont appelés des noeuds, les noeuds sont utilisés dans toute la présente documentation.

Présentation de la mise en réseau

Dans OCI, un réseau se compose d'au moins un réseau cloud virtuel (VCN) avec au moins un sous-réseau, ainsi que des cartes d'interface réseau virtuelles (VNIC), des passerelles, des tables de routage, des règles de sécurité et d'autres fonctionnalités de réseau virtuel. Pour un environnement de développement simple, vous n'avez peut-être besoin que d'un seul VCN avec un seul sous-réseau dans une seule région, avec éventuellement un accès au réseau Internet public. Dans un environnement de production complexe, vous souhaiterez peut-être connecter votre VCN à un réseau sur site, et vous voudrez peut-être homologue avec d'autres réseaux cloud virtuels dans d'autres régions.

Un réseau utilisé pour Big Data Service doit répondre aux exigences générales de n'importe quel réseau OCI, comme décrit dans Présentation de Networking ainsi que dans les rubriques suivantes relatives à la fonction de réseau dans la documentation OCI. Outre ces exigences, tenez compte des informations suivantes propres à Big Data Service :

Création et utilisation de sous-réseaux

Les sous-réseaux permettent de diviser un réseau cloud virtuel en affectant des plages d'adresses IP qui ne se chevauchent pas entre les divers sous-réseaux d'un réseau cloud virtuel. Lorsque vous créez votre réseau pour Big Data Service, tenez compte des éléments suivants :

Un sous-réseau doit être régional et peut être public :

  • Dans OCI, un sous-réseau peut exister dans un domaine de disponibilité particulier ou dans toute une région. Un sous-réseau régional est requis pour Big Data Service. Par conséquent, lorsque vous créez un réseau cloud virtuel pour Big Data Service, vous devez y créer au moins un sous-réseau régional.

  • Les noeuds de cluster sont privés par défaut. Si vous prévoyez de rendre votre cluster accessible à partir du réseau Internet public, vous devez utiliser un sous-réseau public. Dans ce cas, lorsque vous créez le réseau cloud virtuel, le sous-réseau régional que vous créez (voir ci-dessus) doit également être public. Reportez-vous à la section Making Nodes Reachable.

Vous devez indiquer le réseau cloud virtuel et le sous-réseau à utiliser pour un cluster lors de sa création. Reportez-vous à Création d'un cluster.

Mise en oeuvre de l'accessibilité des noeuds

Comme indiqué plus haut, les noeuds de cluster sont privés par défaut. Les noeuds sont créés avec des adresses IP privées et tous les ports sont fermés par défaut (à l'exception du port 22, qui est ouvert pour l'accès SSH). Par conséquent, vous devez configurer le réseau de façon à autoriser l'accès aux noeuds.

Configuration des règles de sécurité des noeuds

Une règle de sécurité autorise un type de trafic spécifique vers ou depuis une carte d'interface réseau virtuelle (qui connecte les noeuds au réseau). Chaque règle de sécurité indique la direction du trafic (entrant ou sortant), la conservation ou non du statut, le type de source et la source (pour les règles entrantes), le type de destination et la destination (pour les règles sortantes), le protocole IP, le port source, le port de destination, ainsi que le type et le code ICMP.

Pour autoriser le trafic réseau à destination et en provenance d'un noeud de cluster, vous devez configurer les règles de sécurité de ce noeud. Répétez cette opération pour tous les noeuds que vous voulez rendre accessibles, que ce soit à partir du réseau Internet public, d'un réseau privé ou des deux.

Reportez-vous à Définition de règles de sécurité dans cette documentation, ainsi qu'à Règles de sécurité dans la documentation Oracle Cloud Infrastructure.

Mise en oeuvre de l'accessibilité des noeuds à partir d'Internet

Pour rendre les noeuds accessibles publiquement à partir d'Internet, vous devez effectuer les opérations suivantes :

Reportez-vous également à Accès à Internet dans la documentation OCI.

Réseau client et réseau privé de cluster

Les clusters Big Data Service présentent une double connexion. Les noeuds du cluster sont connectés à la fois à un réseau privé de cluster dans la location Oracle et à un réseau client dans la location.

A propos du réseau privé de cluster

Le réseau privé de cluster est un réseau cloud virtuel (VCN) et est créé dans la location Oracle lors de la création d'un cluster. Il présente les caractéristiques suivantes :

  • Lorsque vous créez un cluster, vous êtes invité à indiquer un bloc CIDR pour allouer une plage d'adresses IP au réseau. Ce bloc CIDR ne peut pas chevaucher le bloc CIDR du réseau privé client.
  • Les adresses IP privées des noeuds de cluster sont affectées à partir du bloc CIDR du sous-réseau privé dans le réseau cloud virtuel.

  • Le réseau est utilisé exclusivement pour la communication privée entre les noeuds du cluster. Par exemple, le traitement distribué des données, la surveillance des services, etc. Tous les ports sont ouverts par défaut.

  • Vous pouvez choisir de déployer une passerelle de service et une passerelle NAT sur ce réseau. En revanche, vous ne pouvez pas configurer de passerelles, de tables de routage ou de listes de sécurité sur ce réseau afin de contrôler le trafic à destination et en provenance de votre cluster. Reportez-vous à la section Options de passerelle réseau lors de la création d'un cluster ci-dessous.

A propos du réseau client

Le réseau client est situé dans la location client. Pour pouvoir créer un cluster, vous devez déjà disposer d'un réseau cloud virtuel (et celui-ci doit contenir un sous-réseau régional). Ce réseau présente les caractéristiques suivantes :

  • Lorsque vous créez un cluster, vous êtes invité à choisir un réseau cloud virtuel et un sous-réseau existants à associer.

  • Le sous-réseau choisi doit être un sous-réseau régional. Si vous voulez rendre l'un des noeuds accessible au trafic en provenance du réseau Internet public, vous devez choisir un sous-réseau public. Si vous utilisez un VPN IPSec ou Oracle Cloud Infrastructure FastConnect pour vous connecter à votre réseau sur site, vous pouvez utiliser un sous-réseau privé, mais le trafic transitant par le réseau Internet public ne sera alors pas autorisé.
  • Vous pouvez configurer des passerelles, des tables de routage et des listes de sécurité sur ce réseau pour contrôler le trafic réseau à destination et en provenance de votre cluster.
  • Dans le réseau cloud virtuel client, certains ports sont ouverts pour que les composants Hadoop communiquent entre eux. Nous vous recommandons de crypter la communication réseau entre ces ports à l'aide d'algorithmes de cryptage, tels qu'AES 256.

Options de passerelle réseau lors de la création d'un cluster

Lorsque vous créez un cluster, vous devez choisir l'une des deux options suivantes :
  • Sélectionnez Déployer une passerelle de service gérée par Oracle et une passerelle NAT (démarrage rapide) pour déployer une passerelle de service et une passerelle NAT dans le réseau privé du cluster.
    • Une passerelle NAT permet aux noeuds sans adresses IP publiques d'initier des connexions à Internet et de recevoir des réponses, mais pas de recevoir des connexions entrantes initiées à partir d'Internet. Reportez-vous à P passerelle NAT.
    • Une passerelle de service permet aux noeuds sans adresses IP publiques d'accéder de façon privée aux services Oracle, sans exposer les données sur une passerelle Internet ou NAT. Reportez-vous à passerelle de service.

    Lorsque vous sélectionnez cette option, vous ne pouvez en aucun cas limiter cet accès. Par exemple, en limitant la sortie à quelques plages d'adresses IP uniquement. Lorsque vous sélectionnez cette option, tenez compte des points suivants :

    • La passerelle de service et la passerelle NAT sont utilisées pour toutes les opérations décrites ci-dessus pendant toute la durée de vie du cluster. Vous ne pouvez plus modifier le cluster une fois celui-ci créé, et aucune passerelle de service ou NAT du réseau n'est prise en compte.
    • Grâce à la passerelle NAT, tous les noeuds dans le réseau privé du cluster disposent d'un accès sortant complet au réseau Internet public.
    • Vous ne pouvez pas restreindre davantage le trafic dirigé vers la passerelle de service ou NAT. Par exemple, vous ne pouvez pas rediriger le trafic à destination ou en provenance d'adresses IP spécifiques.

  • Sélectionnez l'option Utiliser les passerelles du réseau cloud virtuel client sélectionné (personnalisable) pour utiliser une passerelle de service et une passerelle NAT dans votre réseau client.

    Lorsque vous sélectionnez cette option, tenez compte des points suivants :

    • Vous avez un contrôle complet sur l'acheminement du trafic réseau à destination et en provenance de votre cluster.

    • Vous devez créer et configurer les passerelles vous-même. Reportez-vous à passerelle de service.

      Si vous créez votre réseau à l'aide de l'un des assistants de création de réseau de la console, des passerelles sont créées pour vous, mais vous devrez peut-être les configurer plus en détail pour qu'elles répondent à vos besoins. Reportez-vous à Démarrage rapide des fonctions de réseau virtuel.

    • Vous devez créer et configurer des règles de sécurité pour restreindre le trafic transitant par les passerelles.
    • Vous pouvez modifier la configuration à tout moment.
    • Si vous mettez les adresses IP privées des noeuds de cluster en correspondance avec des adresses IP publiques, aucune passerelle NAT n'est nécessaire. Reportez-vous à Mise en correspondance d'une adresse IP privée avec une adresse IP publique.