Documentation Oracle Cloud Infrastructure

Règles de sécurité VCN requises

Pour pouvoir créer et monter un stockage de fichiers à l'aide de systèmes de fichiers Lustre, vous devez configurer des règles d'accès au trafic vers le système à l'aide de protocoles et de ports spécifiques. Un système de fichiers Lustre nécessite une connectivité entre ses hôtes et une connectivité avec le client.

Lustre utilise le protocole LNet et les pilotes réseau pour communiquer sur différents types de réseaux. Par défaut, File Storage with Lustre utilise un pilote qui utilise le port TCP 988 pour créer des connexions.

Pare-feu OS

Un client Lustre installé sur Oracle Linux ou Ubuntu est soumis aux pare-feu locaux de ces systèmes d'exploitation. En plus des règles de sécurité VCN suivantes, assurez-vous que les pare-feu du système d'exploitation ne bloquent pas le trafic sur le port TCP 988. Les clients Lustre utilisent le port à la fois pour parler et écouter, de sorte que le port doit être ouvert pour la communication bidirectionnelle.

Pour tester la connectivité, un pare-feu local peut être temporairement arrêté et ses règles purgées afin d'éviter toute interférence avec le client Lustre. Suivez toujours les meilleures pratiques en matière de sécurité. Contactez le support technique si vous avez des questions.

Option 1 : Client et Lustre dans différents sous-réseaux

Dans ce scénario, le système de fichiers se trouve dans un sous-réseau différent de celui du client. Les règles de sécurité doivent être configurées à la fois pour le système de fichiers et pour le client soit dans une liste de sécurité pour chaque sous-réseau, soit dans un groupe de sécurité réseau pour chaque ressource.

Configurez les règles de sécurité suivantes pour le système de fichiers Lustre :

  • Entrée avec conservation de statut à partir des ports source CIDR client et sous-réseau Lustre 512-1023 vers le port de destination 988, protocole TCP.
  • Sortie avec conservation de statut des ports source 512-1023 vers le port CIDR de sous-réseau Lustre et client 988, protocole TCP.

Ensuite, configurez les règles pour le client suivantes :

  • Entrée avec conservation de statut à partir des ports source CIDR de sous-réseau Lustre 512-1023 vers le port de destination 988, protocole TCP.
  • Sortie avec conservation de statut des ports source 512-1023 vers le port CIDR de sous-réseau Lustre 988, protocole TCP.

Option 2 : Client et Lustre dans le même sous-réseau

Dans ce scénario, le système de fichiers se trouve dans le même sous-réseau que le client. Les règles de sécurité doivent être configurées dans une liste de sécurité pour chaque sous-réseau ou pour un groupe de sécurité réseau pour chaque ressource :

  • Entrée avec conservation de statut à partir des ports source CIDR de sous-réseau 512-1023 vers le port de destination 988, protocole TCP.
  • Sortie avec conservation de statut des ports source 512-1023 vers le port CIDR de sous-réseau 988, protocole TCP.

Méthodes d'activation des règles de sécurité VCN

Le service Networking offre deux fonctionnalités d'un pare-feu virtuel qui utilisent des règles de sécurité pour contrôler le trafic au niveau du paquet. Ces deux fonctionnalités sont les suivantes :

  • Groupes de sécurité réseau (recommandé) : fonctionnalité qui est conçue pour les composants d'application ayant différents états de sécurité. Créez un groupe de sécurité réseau contenant les règles requises, puis ajoutez le système de fichiers au groupe. Vous pouvez également ajouter les règles requises à un groupe de sécurité réseau existant et ajouter le système de fichiers au groupe de sécurité réseau. Chaque système de fichiers peut appartenir à cinq (5) groupes de sécurité réseau au maximum.
  • Listes de sécurité : fonctionnalité de pare-feu virtuel d'origine du service Networking, Lorsque vous créez un réseau cloud virtuel, une liste de sécurité par défaut est également créée. Ajoutez les règles requises à la liste de sécurité pour le sous-réseau contenant le système de fichiers.
Important

Vous pouvez utiliser des groupes de sécurité réseau seuls, des listes de sécurité seules ou les deux ensemble. Cela dépend de vos besoins de sécurité. Si vous utilisez à la fois des listes d'accès sécurisé et des groupes d'accès réseau, l'ensemble de règles qui s'applique à une carte d'interface réseau virtuelle donnée est la combinaison de ces éléments :

  • Les règles de sécurité dans les listes de sécurité associées au sous-réseau de la carte d'interface réseau virtuelle
  • Règles de sécurité de tous les groupes de données réseau dans lesquels se trouve la carte d'interface réseau virtuelle

Peu importe la méthode que vous utilisez pour appliquer les règles d'application de sécurité à la carte d'interface réseau virtuelle du système de fichiers, tant que les ports nécessaires aux protocoles nécessaires pour File Storage avec Lustre sont correctement configurés dans les règles appliquées.

Pour plus d'informations, d'exemples et de scénarios sur le fonctionnement de ces fonctionnalités avec votre réseau, reportez-vous à Règles de sécurité, à Listes de sécurité et à Groupes de sécurité réseau. La section Présentation de Networking fournit des informations générales sur la mise en réseau.