Documentazione di Oracle Cloud Infrastructure

Connessione ai nodi del cluster con indirizzi IP privati

Per impostazione predefinita, ai nodi cluster vengono assegnati indirizzi IP privati e pertanto non sono disponibili pubblicamente su Internet. È possibile renderli disponibili in uno dei modi descritti negli argomenti riportati di seguito.

Mappare un indirizzo IP privato a un indirizzo IP pubblico

I nodi del servizio Big Data sono per impostazione predefinita indirizzi IP privati assegnati, che non sono accessibili dalla rete Internet pubblica. Un modo per rendere un nodo accessibile da Internet consiste nel mappare l'indirizzo IP privato di un nodo a un indirizzo IP pubblico.

Le istruzioni riportate di seguito utilizzano Oracle Cloud Infrastructure Cloud Shell, un terminale basato su browser Web accessibile dalla console di Oracle Cloud. Raccoglierai alcune informazioni sulla tua rete e sui nodi del tuo cluster, e poi passerai tali informazioni ai comandi nella shell. Per eseguire questo task, è necessario che un cluster sia in esecuzione in una VCN nella tenancy e che tale cluster abbia una subnet pubblica regionale.

Per visualizzare le informazioni sul cluster, vedere Recupero dei dettagli di un cluster.

Privilegi IAM necessari per il mapping tra indirizzo IP privato e indirizzo IP pubblico

Attenzione

Questo è uno dei modi per collegare un indirizzo IP pubblico a un nodo. Tuttavia, non consigliamo di utilizzare questo metodo a causa dell'aumento dei rischi di attacco. Si consiglia di utilizzare una delle altre opzioni:

Devi disporre dei privilegi IAM (Oracle Infrastructure Identity and Access Management) appropriati per mappare gli indirizzi IP privati a quelli pubblici.

L'amministratore della tenancy o un amministratore delegato con i privilegi appropriati deve creare un criterio in base alle linee guida riportate di seguito.

Gruppo

Il criterio può assegnare privilegi a qualsiasi gruppo di servizi Big Data per concedere ai membri di tale gruppo i diritti per mappare gli indirizzi IP.

Autorizzazioni

Il criterio deve contenere istruzioni criterio con le seguenti autorizzazioni IAM:
  • vnic_read
  • private_ip_read
  • public_ip_read
  • public_ip_delete
  • public_ip_create
  • public_ip_update
  • private_ip_assign_public_ip
  • private_ip_unassign_public_ip
  • public_ip_assign_private_ip
  • public_ip_unassign_private_ip

Risorsa

Il criterio deve specificare il tenancy o il <compartment_name> del compartimento contenente la subnet utilizzata per gli indirizzi IP.

Esempio

allow group bds_net_admins to vnic_read in tenancy
allow group bds_net_admins to private_ip_read in tenancy
allow group bds_net_admins to public_ip_read in tenancy
allow group bds_net_admins to public_ip_delete in tenancy
allow group bds_net_admins to public_ip_create in tenancy 
allow group bds_net_admins to public_ip_update in tenancy 
allow group bds_net_admins to private_ip_assign_public_ip in tenancy 
allow group bds_net_admins to private_ip_unassign_public_ip in tenancy 
allow group bds_net_admins to public_ip_assign_private_ip in tenancy
allow group bds_net_admins to public_ip_unassign_private_ip in tenancy

Mapping dell'indirizzo IP privato a un indirizzo IP pubblico

  1. Nella console cloud, selezionare l'icona Cloud Shell Cloud Shell nella parte superiore della pagina. La connessione e l'autenticazione potrebbero richiedere alcuni minuti.

    1. export DISPLAY_NAME=<display-name>

      export SUBNET_OCID=<subnet-ocid>

      export PRIVATE_IP=<ip-address>

      oci network public-ip create --display-name $DISPLAY_NAME --compartment-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."compartment-id"'` --lifetime "RESERVED" --private-ip-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."id"'`

      Le istruzioni export impostano le variabili utilizzate nel comando oci network riportato di seguito. Le variabili sono:

      • <display-name> (facoltativo) è un "nome descrittivo" collegato all'indirizzo IP pubblico riservato. Questo nome non è preesistente, viene creato durante l'esecuzione di questo comando.

        Per comodità, è possibile utilizzare il nome del nodo di cui si sta eseguendo il mapping dell'indirizzo IP privato, ad esempio myclusun0, che è il nome del primo nodo di utility in un cluster denominato mycluster.

      • <subnet-ocid> è l'OCID della subnet pubblica del cliente utilizzata dal cluster, ad esempio ocid1.subnet.oc1.iad....

      • <ip-address> è l'indirizzo IP privato assegnato al nodo che si desidera mappare, ad esempio 192.0.2.1.

      Immettere il comando che inizia con oci network public-ip create --compartment-id... esattamente come mostrato sopra, senza interruzioni.

      esempio:

      $ export DISPLAY_NAME="myclustun0"
$ export SUBNET_OCID="ocid1.subnet.oc1.…"
$ export PRIVATE_IP="192.0.2.1"
$ oci network public-ip create --display-name $DISPLAY_NAME --
compartment-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-
address $PRIVATE_IP | jq -r '.data[] | ."compartment-id"'` --lifetime 
"RESERVED" - private-ip-id `oci network private-ip list --subnet-id 
$SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."id"'`
      L'output restituito è:
      { "data": {
    "assigned-entity-id": "ocid1.privateip.oc1...",
    "assigned-entity-type": "PRIVATE_IP",
    "availability-domain": null,
    "compartment-id": "ocid1.compartment.oc1...",
    "defined-tags": {},
    "display-name": "publicip...",
    "freeform-tags": {},
    "id": "ocid1.publicip.oc1....",
    "ip-address": "203.0.113.1",
    "lifecycle-state": "ASSIGNED",
    "lifetime": "RESERVED",
    "private-ip-id": "ocid1.privateip....",
    "scope": "REGION",
    "time-created": "2020-04-13..."
   },
   "etag": "1234abcd" 
}
  2. Nell'output restituito, trovare il valore per ip-address. Nell'esempio precedente, è 203.0.113.1. Si tratta del nuovo indirizzo IP pubblico riservato mappato all'indirizzo IP privato per il nodo.
  3. Per visualizzare l'indirizzo IP pubblico riservato nella console selezionare il menu di navigazione menu di navigazione.
  4. In Networking selezionare Reti cloud virtuali.
  5. Nell'elenco di navigazione a sinistra, in Networking, selezionare IP Management.
    Il nuovo indirizzo IP pubblico riservato viene visualizzato nella lista Indirizzi IP pubblici riservati. Se è stato fornito un nome visualizzato nel comando eseguito in precedenza, tale nome viene visualizzato nella colonna Nome. In caso contrario, viene generato un nome come publicipnnnnnnnnn.

Eliminazione di un indirizzo IP pubblico

  1. Nella console cloud, selezionare l'icona Cloud Shell Cloud Shell nella parte superiore della pagina. La connessione e l'autenticazione potrebbero richiedere alcuni minuti.
  2. Esegui oci network public-ip delete --public-ip-id ocid1.publicip.oc1....

    Il valore per --public-ip-id viene mostrato nell'output restituito dal comando precedente, come mostrato sopra: "id": "ocid1.publicip.oc1....",.

  3. (Facoltativo) In alternativa, è possibile andare alla pagina Indirizzi IP pubblici riservati di networking nella console cloud ed eliminare gli IP pubblici riservati.

Apertura di porte per rendere disponibili i servizi

Rendere pubblico il nodo non è sufficiente per rendere disponibile un servizio come Apache Ambari da Internet. È inoltre necessario aprire la porta per il servizio aggiungendo una regola di entrata a una lista di sicurezza. Vedere Definizione delle regole di sicurezza.

Utilizzare un host bastion per connettersi al servizio Big Data

È possibile utilizzare un bastion host per fornire l'accesso alla rete privata di un cluster dalla rete Internet pubblica.

Un bastion host è un'istanza di computazione che funge da punto di accesso pubblico per accedere a una rete privata da reti esterne come Internet. Il traffico deve fluire attraverso l'host bastion per accedere alla rete privata ed è possibile impostare i meccanismi di sicurezza nel bastion per gestire tale traffico. Per ulteriori informazioni, vedere Bastion.

Utilizza la VPN site-to-site di Oracle Cloud Infrastructure per connettersi a Big Data Service

La VPN da sito a sito fornisce una IPSec VPN da sito a sito tra la rete on premise e la rete cloud virtuale (VCN). La suite di protocolli IPSec cifra il traffico IP prima del trasferimento dei pacchetti dall'origine alla destinazione e decifra il traffico all'arrivo.

Per i dettagli sulla connessione a Big Data Service con VPN, vedere VPN Site-to-Site.

Utilizza Oracle Cloud Infrastructure FastConnect per connettersi a Big Data Service

Utilizza FastConnect per accedere ai servizi pubblici in Oracle Cloud Infrastructure senza utilizzare Internet, ad esempio l'accesso allo storage degli oggetti o alla console e alle API di Oracle Cloud. Senza FastConnect, il traffico destinato agli indirizzi IP pubblici verrebbe instradato su Internet. Con FastConnect, il traffico passa oltre la connessione fisica privata.

Per i dettagli sulla connessione di Big Data Service a Oracle Cloud Infrastructure FastConnect, consulta FastConnect Overview.