1. Dépannage des problèmes réseau avec VTAP pour OCI et Wireshark
  2. Dépannage des problèmes réseau avec VTAP pour OCI et Wireshark

Dépannage des problèmes réseau avec VTAP pour OCI et Wireshark

Virtual Test Access Point (VTAP) pour Oracle Cloud Infrastructure (OCI) fournit des informations sur le trafic réseau et capture les données requises pour une analyse réseau approfondie. VTAP pour OCI permet la capture et l'inspection de paquets réseau OCI hors bande pour faciliter le dépannage, l'analyse de sécurité et la surveillance des données sans incidence sur les performances.

La fonctionnalité VTAP est également appelée mise en miroir du trafic. Un point d'accès de terminal virtuel permet de mettre en miroir le trafic réseau à partir de différentes sources du réseau OCI et de le transmettre à un périphérique de surveillance cible. VTAP prend en charge la mise en miroir du trafic IPv4 et IPv6. VTAP peut mettre en miroir le trafic à partir des sources suivantes :
  • Une seule instance de calcul
  • Un équilibreur de charge d'application en tant que service (LBaaS) (couche 7, équilibreur de charge proxy)
  • Une base de données en tant que service (DBaaS)
  • Un cluster de machines virtuelles Exadata
  • Instance Autonomous Data Warehouse utilisant une adresse privée

La cible est la ressource qui reçoit le trafic mis en miroir à partir d'un VTAP. Les cibles VTAP peuvent être :

  • Un équilibreur de charge réseau (couche 4, équilibreur de charge non proxy)

Architecture

Cette architecture de référence montre comment VTAP pour OCI et Wireshark peuvent être utilisés pour surveiller le trafic réseau à différents points de l'infrastructure OCI et implémenter une solution rentable pour résoudre les problèmes liés au réseau dans votre location OCI.

Le schéma suivant illustre cette architecture de référence.


Description de l'image oci-vtap-network-wireshark-arch.png
Description de l'illustration oci-vtap-network-wireshark-arch.png

oci-vtap-network-wireshark-arch-oracle.zip

Dans cette architecture de référence, des points d'accès de terminal virtuel sont créés pour capturer le trafic à partir des sources suivantes :
  • LBaaS (couche 7, équilibreur de charge proxy) dans un sous-réseau public
  • Cartes d'interface réseau virtuelles des serveurs d'applications vers lesquels l'équilibreur de charge dirige le trafic
  • Clusters Exadata dans un sous-réseau privé
  • Systèmes DBaaS dans un sous-réseau privé
  • Bases de données autonomes accessibles via une adresse privée (PE)
Le trafic capturé depuis chaque point d'accès de terminal virtuel est dirigé vers un équilibreur de charge réseau (couche 4, équilibreur de charge non proxy) avec des hôtes back-end dans un sous-réseau privé distinct. Le logiciel Wireshark Packet Analyzer est installé sur les hôtes. Un service Bastion permet d'accéder aux hôtes back-end. Pour démarrer une capture de paquets, vous pouvez accéder à l'hôte Wireshark à l'aide du service Bastion et créer une capture à l'aide de la ligne de commande Wireshark.

Vous devez ensuite naviguer de la console OCI vers le point d'accès de terminal virtuel avec la source à partir de laquelle vous souhaitez capturer les détails du trafic et appliquer un filtre de capture. Le filtre de capture vous permet de capturer uniquement le trafic requis en fonction des facteurs suivants :

Inclure/Exclure:
  • Direction du trafic
    • Entrant
    • Sortant
  • Préfixe IPv4 CIDR ou IPv6
    • Source
    • Destination
  • Protocole IP
    • Tout le trafic
    • ICMP : type ICMP, code ICMP
    • TCP : plage de ports source, plage de ports de destination
  • UDP
    • Plage de ports source
    • Plage de ports de destination
  • ICMPv6
    • Type ICMPv6
    • Code ICMPv6
Vous pouvez ensuite choisir de lancer la capture. Les captures réseau peuvent être affichées directement à partir de l'hôte Wireshark à l'aide de la ligne de commande, écrites dans un fichier ou téléchargées vers un système à l'aide de l'interface utilisateur Wireshark pour une analyse plus approfondie.

L'architecture comprend les composants suivants :

  • Point d'accès de test virtuel (VTAP)

    Un point d'accès de test virtuel (VTAP) permet de mettre en miroir le trafic d'une source désignée vers une cible sélectionnée afin de faciliter le dépannage, l'analyse de sécurité et la surveillance des données. Le VTAP utilise un filtre de capture, qui contient un ensemble de rules régissant le trafic mis en miroir par un VTAP.

  • Hôte de Wireshark

    Wireshark est un analyseur de paquets libre et open source qui permet de capturer et d'analyser le trafic. Dans cette architecture de référence, l'hôte Wireshark capture le trafic réseau et peut présenter les données de paquets capturés le plus en détail possible. Le trafic peut être analysé à partir de la ligne de commande ou téléchargé vers un système à l'aide de l'interface utilisateur Wireshark pour une analyse graphique.

  • Load Balancer as a Service (LBaaS) (couche 7, équilibreur de charge proxy)

    Un service Oracle Cloud Infrastructure Load Balancing (couche 7, équilibreur de charge proxy) fournit une distribution automatisée du trafic d'un point d'entrée unique vers plusieurs serveurs du back-end.

  • équilibreur de charge réseau (couche 4, équilibreur de charge non proxy)

    Un équilibreur de charge réseau (couche 4, équilibreur de charge non proxy) fournit la distribution automatique du trafic d'un point d'entrée à plusieurs serveurs back-end dans vos réseaux cloud virtuels. Il fonctionne au niveau de la connexion et équilibre la charge des connexions client entrantes vers les serveurs back-end en bon état en fonction des données Layer3/Layer4 (protocole IP).

  • Service de bastion

    Le service Oracle Cloud Infrastructure Bastion fournit un accès sécurisé limité et limité dans le temps aux ressources qui n'ont pas d'adresses publiques et qui nécessitent des contrôles stricts d'accès aux ressources, tels que Bare Metal et machines virtuelles. Dans cette architecture de référence, le service Bastion permet un accès sécurisé aux hôtes Wireshark back-end même lorsque les hôtes Wireshark ne disposent pas d'adresses publiques.

  • Région

    Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres et de grandes distances peuvent les séparer (dans les pays ou même les continents).

  • Domaines de disponibilité

    Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent pas d'infrastructure telle que l'alimentation ou le refroidissement, ni le réseau interne du domaine de disponibilité. Ainsi, il est peu probable qu'un échec dans un domaine de disponibilité affecte les autres domaines de disponibilité de la région.

  • domaines de pannes

    Un domaine de pannes est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes avec un matériel et une alimentation indépendants. Lorsque vous répartissez des ressources entre plusieurs domaines de pannes, les applications peuvent tolérer les pannes physiques du serveur, la maintenance du système et les pannes d'alimentation au sein d'un domaine de pannes.

  • Réseau cloud virtuel (VCN) et sous-réseaux

    Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Tout comme les réseaux de centres de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur votre environnement réseau. Un VCN peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être ciblés vers une région ou vers un domaine de disponibilité. Chaque sous-réseau se compose d'une plage contiguë d'adresses qui ne chevauchent pas les autres sous-réseaux du VCN. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • Base de données autonome

    Les bases de données autonomes Oracle Cloud Infrastructure sont des environnements de base de données entièrement gérés préconfigurés que vous pouvez utiliser pour les charges de travail de traitement des transactions et d'entreposage de données. Vous n'avez pas besoin de configurer ou de gérer du matériel, ni d'installer un logiciel. Oracle Cloud Infrastructure gère la création de la base de données, ainsi que la sauvegarde, l'application de patches, la mise à niveau et le réglage de la base de données.

  • Système de base de données Exadata

    Exadata Cloud Service vous permet de tirer parti de la puissance d'Exadata dans le cloud. Vous pouvez provisionner des systèmes X8M flexibles qui vous permettent d'ajouter des serveurs de calcul et des serveurs de stockage de base de données à votre système à mesure que vos besoins augmentent. Les systèmes X8M offrent un réseau RoCE (RDMA over Converged Ethernet) pour une bande passante élevée et une latence faible, des modules de mémoire persistante (PMEM) et un logiciel Exadata intelligent. Vous pouvez provisionner des systèmes X8M à l'aide d'une forme équivalente à un système X8 quart de rack, puis ajouter des serveurs de base de données et de stockage à tout moment après le provisionnement.

  • Serveur d'applications

    Les serveurs d'applications utilisent un pair secondaire qui, comme la base de données, prendra le relais en cas de sinistre. Les serveurs d'applications utilisent la configuration et les métadonnées qui sont stockées à la fois dans la base de données et dans le système de fichiers. La mise en cluster du serveur d'applications assure la protection dans le cadre d'une région unique, mais les modifications et les nouveaux déploiements en cours doivent être répliqués sur le site secondaire de manière permanente pour assurer une récupération après sinistre cohérente.

  • Table de routage

    Les tables de routage virtuelles contiennent des règles permettant d'acheminer le trafic de sous-réseaux vers des destinations en dehors d'un VCN, généralement via des passerelles.

  • Liste de sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui spécifient la source, la destination et le type de trafic à autoriser à l'entrée et à la sortie du sous-réseau.

Recommandations

Utilisez les recommandations suivantes comme point de départ. Vos besoins peuvent différer de l'architecture décrite ici.
  • VCN

    Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez de joindre aux sous-réseaux du VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adresses IP privées standard.

    Sélectionnez les blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données on-premise ou un autre fournisseur cloud) sur lequel vous souhaitez configurer des connexions privées.

    Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

    Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

  • Bande passante LBaaS (couche 7, équilibreur de charge proxy)

    Lors de la création de l'équilibreur de charge, vous pouvez sélectionner une forme prédéfinie fournissant une bande passante fixe ou indiquer une forme personnalisée (flexible) dans laquelle vous définissez une plage de bande passante et laisser le service redimensionner automatiquement la bande passante en fonction des modèles de trafic. Avec l'une ou l'autre approche, vous pouvez modifier la forme à tout moment après la création de l'équilibreur de charge.

  • équilibreur de charge réseau (couche 4, équilibreur de charge non proxy)

    Indiquez si vous voulez un équilibreur de charge réseau privé ou public, puis créez le processus d'écoute et les ensembles de back-ends. Il est recommandé de définir le processus d'écoute pour le port UDP 4789, qui est le port pour VXLAN (le trafic en miroir VTAP est encapsulé dans VXLAN). Cela garantit que l'équilibreur de charge réseau écoutera et équilibrera la charge tout le trafic mis en miroir.

Remarques

Tenez compte des options suivantes lors du déploiement de cette architecture de référence.

  • Coût

    La création d'un point d'accès de terminal virtuel n'occasionne aucun coût si vous disposez d'un abonnement OCI. L'équilibreur de charge réseau utilisé comme cible pour VTAP fait partie du niveau gratuit. La machine virtuelle hébergée pour Wireshark peut également être au niveau gratuit.

Voir plus

Consultez ces ressources supplémentaires pour en savoir plus sur les fonctionnalités de cette architecture.

Revenus

  • Auteur : Chiping Hwang
  • Contributeur : Anupama Pundpal