Creazione delle risorse di rete

Prima di poter creare e utilizzare i cluster di Big Data Service, è necessario creare e configurare una rete. Il servizio Oracle Cloud Infrastructure Networking offre una vasta gamma di funzioni per stabilire una topologia di rete sicura per il tuo servizio Big Data.

Per la documentazione completa su Oracle Infrastructure Networking, consulta la panoramica sul networking e i successivi argomenti di networking nella documentazione di Oracle Cloud Infrastructure. Nelle sezioni riportate di seguito vengono descritti i dettagli di rete specifici di Big Data Service.

Terminologia

Il termine rete si riferisce a una rete cloud virtuale (VCN) o a una subnet in una VCN. Quando la differenza è pertinente, viene utilizzata la VCN o la subnet.

L'istanza, l'host e il nodo vengono utilizzati in modo intercambiabile. Tuttavia, poiché gli host che costituiscono un cluster Hadoop sono denominati nodi, i nodi vengono utilizzati in questa documentazione.

Informazioni sulla rete

In OCI, una rete è composta da almeno una rete cloud virtuale (VCN) con almeno una subnet, insieme a schede di interfaccia di rete virtuale (VNIC), gateway, tabelle di instradamento, regole di sicurezza e altre funzioni di rete virtuale. Per un semplice ambiente di sviluppo, potresti aver bisogno solo di una singola VCN con una singola subnet in una singola area, probabilmente con accesso alla rete Internet pubblica. Per un ambiente di produzione complesso, potresti voler connettere la tua VCN a una rete on premise e potresti voler eseguire il peer con altre VCN in altre aree.

Una rete utilizzata per Big Data Service deve soddisfare i requisiti generali per qualsiasi rete OCI, come descritto nella sezione Panoramica del networking e negli argomenti di networking successivi nella documentazione OCI. Oltre a questi requisiti, prendi in considerazione le seguenti informazioni specifiche per Big Data Service:

Creazione e uso delle subnet

Le subnet dividono una VCN assegnando intervalli di indirizzi IP che non si sovrappongono ad altre subnet nella VCN. Quando si crea la rete per Big Data Service, tenere presente quanto riportato di seguito.

Una sottorete deve essere regionale e può essere pubblica:

In OCI, una subnet può esistere in un singolo dominio di disponibilità o in un'intera area. Per Big Data Service è richiesta una subnet regionale. Pertanto, quando crei la VCN per il servizio Big Data, devi creare almeno una subnet regionale al suo interno.
Per impostazione predefinita, i nodi cluster sono privati. Se prevedi di rendere il tuo cluster disponibile per l'accesso dalla rete Internet pubblica, devi usare una subnet pubblica. In tal caso, quando crei la VCN, anche la subnet regionale creata (vedere sopra) deve essere pubblica. Vedere Come rendere raggiungibili i nodi.

È possibile specificare la VCN e la subnet da utilizzare per un cluster quando si crea il cluster. Vedere Creazione di un cluster.

Come rendere raggiungibili i nodi

Come accennato in precedenza, i nodi cluster sono privati per impostazione predefinita. I nodi vengono creati con indirizzi IP privati e tutte le porte vengono chiuse per impostazione predefinita (ad eccezione della porta 22, aperta per l'accesso SSH). Pertanto, è necessario configurare la rete per consentire l'accesso ai nodi.

Configurazione delle regole di sicurezza per i nodi

Una regola di sicurezza consente un determinato tipo di traffico in entrata o in uscita da una VNIC (che connette i nodi alla rete). Ogni regola di sicurezza specifica direzione (ingresso o uscita), con conservazione dello stato o senza conservazione dello stato, tipo di origine e origine (per le regole di entrata), tipo di destinazione e destinazione (per le regole di uscita), protocollo IP, porta di origine, porta di destinazione e tipo e codice ICMP.

Per consentire il traffico di rete da e verso un nodo cluster, è necessario configurare le regole di sicurezza per il nodo. Eseguire questa operazione per tutti i nodi che si desidera rendere raggiungibili, dalla rete Internet pubblica, da una rete privata o da entrambi.

Vedere Definizione delle regole di sicurezza in questa documentazione e Regole di sicurezza nella documentazione di Oracle Cloud Infrastructure.

Rendere i nodi accessibili da Internet

Per rendere i nodi pubblicamente accessibili da Internet, è necessario:

Utilizzare una subnet pubblica. Fare riferimento alla sezione VCN e subnet nella documentazione di Oracle Cloud Infrastructure.
Creare e mappare gli indirizzi IP pubblici agli indirizzi IP privati predefiniti dei nodi che si desidera aprire a Internet. Vedere Mapping di un indirizzo IP privato a un indirizzo IP pubblico.
Configura le regole di sicurezza per consentire il traffico da Internet. Vedere Configurazione delle regole di sicurezza per i nodi.

Vedere anche Accesso a Internet nella documentazione OCI.

Rete cliente e rete privata del cluster

I cluster Big Data Service sono dual-homed. I nodi del cluster sono connessi sia a una rete privata cluster nella tenancy Oracle che a una rete cliente nella tenancy.

Informazioni sulla rete privata del cluster

La rete privata del cluster è una rete cloud virtuale (VCN) e viene creata nella tenancy Oracle quando viene creato un cluster. Le caratteristiche di questa rete sono:

Quando si crea un cluster, viene richiesto di specificare un blocco CIDR per allocare un intervallo di indirizzi IP per la rete. Questo blocco CIDR non può sovrapporsi al blocco CIDR della rete privata del cliente.
Gli indirizzi IP privati dei nodi del cluster vengono assegnati dal blocco CIDR della subnet privata in questa VCN.
La rete viene utilizzata esclusivamente per la comunicazione privata tra i nodi del cluster. Ad esempio, elaborazione dati distribuita, monitoraggio dei servizi e così via. Tutte le porte sono aperte per impostazione predefinita.
È possibile scegliere di distribuire un gateway di servizi e un gateway di indirizzi di rete in questa rete, ma non è possibile configurare gateway, tabelle di instradamento o liste di sicurezza in questa rete per controllare il traffico di rete da e verso il cluster. Vedere Opzioni del gateway di rete durante la creazione di un cluster di seguito.

Informazioni sulla rete cliente

La rete cliente si trova nella tenancy del cliente. La VCN deve esistere già (e deve avere una subnet regionale) prima di poter creare un cluster. I dettagli su questa rete sono:

Quando si crea un cluster, viene richiesto di scegliere una VCN e una subnet esistenti da associare al cluster.
La subnet scelta per il cluster deve essere una subnet regionale. Se vuoi rendere disponibile uno qualsiasi dei nodi per il traffico dalla rete Internet pubblica, devi scegliere una subnet pubblica. Se stai utilizzando IPSec VPN o Oracle Cloud Infrastructure FastConnect per connetterti alla tua rete on premise, puoi utilizzare una subnet privata, ma ciò significa che il traffico attraverso la rete Internet pubblica non sarà consentito.
È possibile configurare gateway, tabelle di instradamento ed elenchi di sicurezza in questa rete per controllare il traffico di rete da e verso il cluster.
Nella VCN del cliente, alcune porte sono aperte per consentire ai componenti Hadoop di comunicare tra loro. Si consiglia di cifrare la comunicazione di rete tra queste porte utilizzando algoritmi di cifratura, ad esempio AES 256.

Opzioni del gateway di rete durante la creazione di un cluster

Quando si crea un cluster, è necessario scegliere tra le due opzioni riportate di seguito.

Scegliere Distribuisci il gateway del servizio gestito da Oracle e il gateway NAT (Avvio rapido) per distribuire un gateway del servizio e un gateway NAT nella rete privata del cluster.
- Un gateway NAT consente ai nodi senza indirizzi IP pubblici di avviare connessioni e ricevere risposte da Internet, ma non di ricevere connessioni in entrata avviate da Internet. Vedere Gateway NAT.
- Un gateway di servizi consente ai nodi senza indirizzi IP pubblici di accedere in privato ai servizi Oracle, senza esporre i dati a un gateway Internet o NAT. Vedere Gateway di servizi.
Quando si seleziona questa opzione, non è possibile limitare l'accesso in alcun modo. Ad esempio, limitando l'uscita a pochi intervalli IP. Se si sceglie questa opzione:
- Il gateway del servizio e il gateway NAT vengono utilizzati per tutte le operazioni descritte in precedenza, per tutta la durata del cluster. Non è possibile modificarlo dopo la creazione del cluster e tutti i gateway di servizio o NAT nella rete vengono ignorati.
- Questo gateway NAT fornisce a tutti i nodi della rete privata del cluster l'accesso completo in uscita alla rete Internet pubblica.
- Non è possibile limitare ulteriormente il traffico indirizzato al gateway NAT o al gateway del servizio. Ad esempio, non è possibile reindirizzare il traffico verso o da indirizzi IP specifici.
Scegliere Usa i gateway nella VCN del cliente selezionata (personalizzabile) per utilizzare un gateway di servizio e un gateway NAT nella rete del cliente.

Se si sceglie questa opzione:
- Hai il controllo completo sull'instradamento del traffico di rete da e verso il tuo cluster.
- È necessario creare e configurare i gateway personalmente. Vedere Gateway di servizi.
  
  Se si crea la rete utilizzando una delle procedure guidate di creazione della rete nella console, alcuni gateway vengono creati automaticamente, ma potrebbe essere necessario configurarli in base alle proprie esigenze. Vedere Avvio rapido al networking virtuale.
- È necessario creare e configurare regole di sicurezza per limitare il traffico attraverso i gateway.
- È possibile modificare la configurazione in qualsiasi momento.
- Se si mappano gli indirizzi IP privati dei nodi del cluster agli indirizzi IP pubblici, non è necessario un gateway NAT. Vedere Mapping di un indirizzo IP privato a un indirizzo IP pubblico.

Documentazione di Oracle Cloud Infrastructure