Documentazione di Oracle Cloud Infrastructure

Definizione delle regole di sicurezza

Un amministratore deve configurare le regole di sicurezza per controllare il traffico di rete da e verso le risorse del servizio Big Data.

Sfondo

In Oracle Cloud Infrastructure, sono disponibili due tipi di firewall virtuali per controllare il traffico da e verso le tue risorse cloud. Gli elenchi di sicurezza includono regole di sicurezza che si applicano a un'intera subnet. I gruppi di sicurezza di rete includono regole di sicurezza che si applicano a un set definito di risorse organizzate in gruppi. I gruppi di sicurezza di rete consentono un controllo più dettagliato, mentre le liste di sicurezza sono più facili da impostare e gestire.

Le liste di sicurezza e i gruppi di sicurezza di rete includono entrambe le regole di sicurezza. Una regola di sicurezza consente un determinato tipo di traffico in entrata o in uscita da una scheda di interfaccia di rete virtuale (VNIC).

Nota

Una VNIC è un componente di rete che consente a una risorsa in rete, ad esempio un'istanza (un nodo nel servizio Big Data) di connettersi a una rete cloud virtuale (VCN). La VNIC determina il modo in cui l'istanza si connette agli endpoint all'interno e all'esterno della VCN. Ogni VNIC risiede nella subnet di una VCN. Una lista di sicurezza definisce un set di regole di sicurezza che si applicano a tutte le VNIC in una subnet. Un gruppo di sicurezza di rete definisce un set di regole di sicurezza che si applicano a un gruppo di VNIC definite dall'utente.

È importante comprendere il ruolo delle VNIC nell'architettura di rete, ma ai fini della presente documentazione è in genere sufficiente fare riferimento al funzionamento delle regole di sicurezza nelle VCN e nelle subnet.

Per ulteriori informazioni, vedere Regole di sicurezza.

Creazione di regole di sicurezza nelle liste di sicurezza

In genere, Big Data Service utilizza le liste di sicurezza. Ciò significa che crei regole di sicurezza per una subnet e qualsiasi cluster in tale subnet è soggetto a tali regole. Le istruzioni riportate di seguito descrivono come creare regole di sicurezza in una lista di sicurezza definita per la subnet utilizzata dal cluster.

Una lista di sicurezza può definire sia le regole di entrata (per il traffico in entrata) che le regole di uscita (per il traffico in uscita).

Ogni regola di sicurezza specifica:
  • Direzione (ingress o uscita)
  • Con o senza conservazione dello stato
  • Tipo di origine e origine (solo regole di accesso)

Per la documentazione completa sulle regole di sicurezza, vedere Parti di una regola di sicurezza.

Le sezioni riportate di seguito contengono dettagli specifici sulla creazione di regole di entrata e uscita per i cluster Big Data Service.

Creazione di regole di entrata (e porte aperte)

Per consentire l'accesso a servizi quali Apache Ambari, Hue e JupyterHub, è necessario aprire determinate porte nei cluster di Big Data Service. Configurare queste porte nelle regole di entrata della sicurezza applicabili a un cluster.

Per informazioni sulla creazione di una regola di entrata, vedere Regole di sicurezza con il seguente contenuto specifico per il servizio Big Data:
  1. Nella finestra di dialogo Aggiungi regole di entrata, impostare le seguenti opzioni per aprire la porta 22 per l'accesso SSH (se non è già aperta):
    • senza conservazione dello stato: lasciare deselezionata questa casella. Ciò rende la regola con conservazione dello stato, il che significa che qualsiasi risposta al traffico in entrata può essere restituita all'host di origine, indipendentemente dalle regole di uscita applicabili all'istanza.
    • Tipo di origine: selezionare CIDR.
    • CIDR di origine: immettere 0.0.0.0/0, che indica che è consentito il traffico da tutte le origini su Internet.
    • Protocollo IP: selezionare TCP.
    • Intervallo porte di origine: accettare il valore predefinito All.
    • Intervallo porte di destinazione: immettere 22 per consentire l'accesso tramite SSH.
    • Descrizione: aggiungere una descrizione facoltativa.
  2. Nella parte inferiore della finestra di dialogo, selezionare +Another Regola di entrata e immettere i valori per un'altra regola. Eseguire questa operazione per tutte le volte che è necessario, per creare tutte le regole necessarie e quindi selezionare Aggiungi regole di entrata.

    Per ulteriori informazioni sugli intervalli di porte e sugli esempi di regole di destinazione delle regole di entrata, vedere Intervalli di porte di destinazione delle regole di entrata.

Intervalli porte di destinazione regola di entrata

Per un set tipico di regole di entrata per un cluster, creare le regole con gli intervalli di porte di destinazione specificati:
  • SSH - porta 22
  • Apache Ambari - porta 7183
  • Tonalità - porta 8888
  • JupyterHub: porta 8000
  • Web Resource Manager - porta 8090
  • Server cronologia Spark - porta 18088

Creazione di regole di uscita

Quando si crea un cluster, è possibile utilizzare o meno un gateway NAT. La selezione di tale opzione influisce sul modo in cui è possibile controllare il traffico in uscita.

  • Se si seleziona l'opzione gateway NAT durante la creazione di un cluster, tutti i nodi dispongono dell'accesso completo in uscita alla rete Internet pubblica. Non è possibile limitare tale accesso in alcun modo (ad esempio limitando l'uscita a pochi intervalli IP).

  • Se si sceglie di non creare un gateway NAT durante la creazione di un cluster, è possibile creare un gateway NAT nella VCN in uso per accedere al cluster. È inoltre possibile modificare i criteri in questo gateway NAT per limitare l'uscita agli intervalli IP specificati.

  • Se si esegue il mapping degli IP VM sugli IP pubblici, non è necessario un gateway NAT.

Per informazioni sulla creazione di una regola di uscita, vedere Regole di sicurezza.