Punti di accesso ai test virtuali (VTAP)

Un Virtual Test Access Point (VTAP) consente di eseguire il mirroring del traffico da un'origine selezionata a una destinazione selezionata per facilitare la risoluzione dei problemi, l'analisi della sicurezza e il monitoraggio dei dati.

Il VTAP utilizza un filtro di acquisizione, che contiene un set di regole che regolano il traffico di cui esegue il mirror di un VTAP. Al momento della creazione, un VTAP è STOPPED per impostazione predefinita, pertanto è necessario fare clic su Avvia VTAP prima che esegua il mirroring del traffico come previsto.

È possibile creare un filtro di acquisizione durante la creazione di un VTAP oppure assegnare un filtro di acquisizione esistente a un nuovo VTAP.

Origini e destinazioni VTAP

L'origine VTAP è la risorsa monitorata da VTAP. Il traffico su questa risorsa viene sottoposto a mirroring e inviato a una destinazione scelta. L'origine e la destinazione VTAP devono essere ospitate nella stessa VCN. Possono trovarsi in compartimenti o subnet diversi a condizione di disporre delle autorizzazioni necessarie per visualizzare e utilizzare queste risorse. Le origini VTAP possono essere:

Una singola istanza di computazione VNIC in una subnet
Un load balancer
Un sistema di database
Un cluster VM Exadata
Un'istanza di Autonomous Database per Analytics e Data Warehousing utilizzando un endpoint privato

Per le istanze di computazione, specificare l'OCID della VNIC collegata. Per gli altri tipi di origine, specificare l'OCID della risorsa di servizio.

La destinazione è la risorsa che riceve il traffico di cui è stato eseguito il mirroring da un VTAP. Le destinazioni VTAP possono essere:

Un load balancer di rete

Nota

Quando una risorsa utilizzata come origine o destinazione di un VTAP viene eliminata, il VTAP non può più funzionare e la console posiziona il VTAP nello stato arrestato. Per riavviare il VTAP, scegliere una nuova risorsa per sostituire la risorsa mancante.

Nel diagramma viene illustrata un'implementazione di esempio di un VTAP.

Diagramma che mostra un VTAP con un'origine e una destinazione.

In questo esempio, la virtual machine nella subnet-A invia traffico a un'altra virtual machine nella subnet-B. Il VTAP nella subnet-A controlla il traffico che esce dalla virtual machine. Poiché questo traffico corrisponde al filtro di acquisizione in uso, il VTAP esegue il mirroring del traffico verso la destinazione (in questo caso un load balancer di rete nella subnet-C). Il set backend può quindi eseguire l'analisi appropriata sul traffico con mirroring.

Filtri e regole di acquisizione

Le regole del filtro di acquisizione selezionano gli elementi inclusi nel traffico con mirroring dall'origine alla destinazione. Molti VTAP possono utilizzare lo stesso filtro di acquisizione, pertanto la modifica delle regole di un filtro di acquisizione influisce su tutti i VTAP che utilizzano tale filtro di acquisizione. Un filtro di acquisizione deve avere almeno una regola e può contenere fino a 10 regole. Le regole del filtro di acquisizione vengono esaminate nell'ordine di sequenza definito. Quando viene trovata una corrispondenza, viene applicata tale regola. Se non viene trovata alcuna corrispondenza in una determinata regola, la regola successiva della sequenza viene valutata ed eseguita se viene trovata una corrispondenza. Il riordinamento delle regole può modificare il funzionamento del filtro di acquisizione.

Un filtro di acquisizione può eseguire un'azione (includere o escludere un pacchetto) in base ai seguenti tipi di criteri:

Il pacchetto fa parte del traffico in entrata o in uscita
Il pacchetto è associato o proveniente da un blocco CIDRIPv4 CIDR IPv4 di origine o destinazione specifico o da un prefisso IPv6
Il pacchetto utilizza un parametro specifico del protocollo IP (intervallo di porte TCP o UDP, ICMP, ICMPv6) utilizzato dal traffico o da qualsiasi protocollo (utilizzando l'impostazione predefinita, All).

Se una regola non specifica un blocco CIDR, un prefisso o un protocollo IP, per tale regola vengono accettati tutti gli indirizzi IP o i protocolli IP.

Di seguito è riportato un esempio pratico di come strutturare un set di regole. L'intento è che sia incluso tutto il traffico da 10.1.0.0/16 ad eccezione di 10.1.1.1, che è escluso:

CIDR di origine: 10.1.1.1/32, Escludi
CIDR di origine: 10.1.0.0/16, Includi
CIDR di origine: 10.1.1.0/24, Includi

Il filtro di acquisizione valuta ogni pacchetto nel traffico rispetto alle regole nell'ordine di sequenza definito. Un pacchetto di 10.1.1.1 corrisponde alla prima regola ed è escluso dal traffico con mirroring. Il pacchetto non viene confrontato con le altre regole del set. Il set di regole funziona come previsto.

Se la prima regola viene spostata in terza nell'ordine di sequenza, l'insieme di regole non funziona più come previsto:

CIDR di origine: 10.1.0.0/16, Includi
CIDR di origine: 10.1.1.0/24, Includi
CIDR di origine: 10.1.1.1/32, Escludi

Poiché le regole del filtro di acquisizione valutano ogni pacchetto nel traffico nell'ordine di sequenza definito, un pacchetto da 10.1.1.1 ora corrisponde alla prima regola ed è incluso nel traffico con mirroring. Ulteriori valutazioni delle regole vengono ignorate. In questo esempio vengono utilizzati blocchi CIDR, ma le regole vengono valutate allo stesso modo, indipendentemente dal tipo di origine selezionato.

Per ulteriori informazioni, vedere Acquisisci filtri.

Funzioni VTAP avanzate

Identificatore di rete VXLAN (VNI): immettere un VNI per identificare in modo univoco il tunnel di incapsulamento VXLAN. Se non si specifica un VNI, ne viene generato uno automaticamente.

Dimensione massima del pacchetto: è possibile specificare una dimensione massima del pacchetto compresa tra 64 e 9000 byte. Per ottenere prestazioni migliori o un'ingestione efficiente nella destinazione, è possibile troncare i pacchetti con mirroring a una lunghezza inferiore. Un VTAP funziona con l'unità MTU di 9000 byte impostata su tutti i NIC dell'istanza. Tuttavia, a causa dell'incapsulamento VTAP (VxLAN), il sovraccarico della MTU sulle VNIC dell'istanza che sono origini VTAP deve considerare la MTU di destinazione meno il sovraccarico dell'incapsulamento VTAP. Per evitare qualsiasi troncamento dei pacchetti nei pacchetti acquisiti VTAP, l'MTU delle interfacce dell'istanza di origine deve essere impostata su 8950 o inferiore per IPv4 o su 8930 o inferiore per IPv6. È consigliabile che tutte le istanze di destinazione abbiano le proprie NIC impostate per utilizzare una MTU di 9000 byte (impostazione predefinita nelle immagini Oracle standard).

Nota

Se un VTAP è abilitato su una determinata origine supportata, il sovraccarico generato dal mirroring dei pacchetti consuma la larghezza di banda di rete. La capacità della larghezza di banda della rete viene decisa dalla forma di base dell'istanza a cui è collegata una VNIC. Un VTAP viene implementato nella VNIC.

Se si utilizza più del 30% della larghezza di banda di rete disponibile supportata dal servizio e si desidera abilitare un VTAP, si consiglia di aggiornare la forma del servizio di base.

In alternativa, è possibile specificare una dimensione massima dei pacchetti inferiore quando si configura un VTAP per utilizzare un MTU pari o inferiore a 1500 per ottenere migliori prestazioni complessive e un utilizzo della larghezza di banda.

Per i pacchetti con mirroring troncato, i parametri di intestazione dei pacchetti del payload, ad esempio lunghezza e checksum, non vengono aggiornati.

Modalità Priorità: l'utilizzo di questa opzione dà la stessa priorità al traffico monitorato e sottoposto a mirroring in caso di congestione all'origine. Per impostazione predefinita, la priorità del traffico di produzione viene assegnata prima del traffico con mirroring VTAP. Quando si abilita la modalità priorità, al traffico monitorato e al traffico con mirroring VTAP viene assegnata la stessa priorità. Quando questa opzione è selezionata, il traffico con mirroring potrebbe causare l'eliminazione di parte del traffico monitorato ogni volta che l'origine è congestionata. Se viene rilevata questa perdita di pacchetti, è possibile disabilitare la modalità priorità o aggiornare le forme di origine per consentire una maggiore larghezza di banda.

Requisiti e preparazione

L'implementazione di un VTAP richiede almeno un'origine valida e una destinazione valida, entrambe nella stessa VCN. Queste risorse devono esistere prima di creare un VTAP. La destinazione può trovarsi in una subnet diversa dall'origine.

Dipendenze

Lavorare con i VTAP richiede la comprensione di alcune dipendenze cruciali:

Un VTAP deve sempre avere un'origine, una destinazione e un filtro di acquisizione associato.
A un filtro di acquisizione deve essere sempre associata almeno una regola.
Una VNIC non può mai essere un'origine per più VTAP. Per ulteriori dettagli, vedere Origini e destinazioni VTAP.

È possibile visualizzare i seguenti comportamenti previsti:

Impossibile creare un VTAP senza scegliere un'origine e una destinazione e associarlo a un filtro di acquisizione esistente. È possibile modificare il filtro di acquisizione associato al VTAP. Non è mai possibile avere un VTAP a cui non sia associato un filtro di acquisizione.
Verrà impedito di eliminare un filtro di acquisizione associato a un VTAP. Per eliminare un filtro di acquisizione utilizzato da uno o più VTAP, è necessario associare un filtro di acquisizione diverso a tali VTAP prima di eliminare il filtro di acquisizione.
Verrà impedito di creare un filtro di acquisizione vuoto o di modificare un filtro di acquisizione per non contenere più regole.
Se un'origine o una destinazione VTAP viene eliminata, il VTAP viene automaticamente impostato sullo stato STOPPED. Per riavviare un VTAP arrestato per questo motivo, modificare il VTAP per assegnare una nuova origine o destinazione valida, che comporta il ripristino dello stato RUNNING del VTAP.

Criterio IAM necessario

Per utilizzare Oracle Cloud Infrastructure, un amministratore deve essere un membro di un gruppo a cui è stato concesso l'accesso di sicurezza in un criterio da un amministratore della tenancy. Questo accesso è necessario se si utilizza la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento. Se viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, verificare con l'amministratore della tenancy il tipo di accesso di cui si dispone e il compartimento in cui funziona l'accesso.

Per gli amministratori, vedere Criteri IAM per il networking.

Limiti per le risorse IAM

Per un elenco dei limiti applicabili e delle istruzioni per richiedere un aumento del limite, consulta la sezione relativa ai limiti dei servizi. Per impostare limiti specifici del compartimento per una risorsa o una famiglia di risorse, gli amministratori possono utilizzare le quote dei compartimenti.

Per un elenco dei limiti specifici per questo servizio, consulta la sezione relativa ai limiti VTAP.

Soluzioni dei partner Oracle convalidate

Alcuni membri di Oracle Partner Network (OPN) dispongono di soluzioni verificate disponibili in Oracle Marketplace che funzionano con un VTAP. Puoi distribuire queste soluzioni quando utilizzi un VTAP per inviare traffico in mirroring a una destinazione del load balancer di rete.

Nota

È possibile utilizzare altre soluzioni con VTAP, ma queste soluzioni sono convalidate da Oracle.

Task VTAP

È possibile eseguire i task riportati di seguito utilizzando il servizio VTAP.

Documentazione dell'infrastruttura Oracle Cloud