Documentazione dell'infrastruttura Oracle Cloud

Regole di sicurezza VCN richieste

Prima di poter creare ed eseguire il MOUNT di uno storage di file con il file system Lustre, è necessario configurare le regole di sicurezza per consentire il traffico al file system utilizzando protocolli e porte specifici. Un file system Lustre richiede la connettività tra gli host e la connettività con il client.

Lustre utilizza il protocollo LNet e i driver di rete per comunicare su diversi tipi di reti. Per impostazione predefinita, lo storage di file con Lustre utilizza un driver che utilizza la porta TCP 988 per creare connessioni.

Firewall sistema operativo

Un client Lustre installato su Oracle Linux o Ubuntu è soggetto ai firewall locali di tali sistemi operativi. Oltre alle regole di sicurezza VCN riportate di seguito, assicurarsi che i firewall del sistema operativo non bloccino il traffico sulla porta TCP 988. I client Lustre utilizzano la porta sia per parlare che per ascoltare, quindi la porta deve essere aperta per la comunicazione bidirezionale.

Per testare la connettività, è possibile arrestare temporaneamente un firewall locale e svuotare le relative regole per evitare interferenze con il client Lustre. Seguire sempre le procedure ottimali per la sicurezza. Contatta l'assistenza per qualsiasi domanda.

Opzione 1: Client e Lustre in diverse sottoreti

In questo scenario il file system si trova in una sottorete diversa da quella del client. Le regole di sicurezza devono essere configurate per sia il file system che il client in una lista di sicurezza per ogni subnet oppure per un gruppo di sicurezza di rete (NSG) per ogni risorsa.

Impostare le regole di sicurezza seguenti per il file system Lustre:

  • Ingresso con conservazione dello stato dalle porte di origine CIDR del client e della subnet Lustre 512-1023 alla porta di destinazione 988, protocollo TCP.
  • Uscita con conservazione dello stato dalle porte di origine 512-1023 a Lustre e dalla porta CIDR della subnet client 988, protocollo TCP.

Successivamente, impostare le regole di sicurezza seguenti per il client:

  • Ingresso con conservazione dello stato dalle porte di origine CIDR della subnet Lustre 512-1023 alla porta di destinazione 988, protocollo TCP.
  • Uscita con conservazione dello stato dalle porte di origine 512-1023 alla porta CIDR della subnet Lustre 988, protocollo TCP.

Opzione 2: Client e Lustre nella stessa sottorete

In questo scenario, il file system si trova nella stessa sottorete del client. Le regole di sicurezza devono essere configurate in una lista di sicurezza per ogni subnet oppure in un gruppo di sicurezza di rete (NSG) per ogni risorsa:

  • Ingresso con conservazione dello stato dalle porte di origine CIDR della sottorete 512-1023 alla porta di destinazione 988, protocollo TCP.
  • Uscita con conservazione dello stato dalle porte di origine 512-1023 alla porta CIDR della subnet 988, protocollo TCP.

Modi per abilitare le regole di sicurezza VCN

Il servizio Networking offre due funzionalità firewall virtuali che utilizzano entrambe le regole di sicurezza per controllare il traffico a livello di pacchetto. Le due caratteristiche sono:

  • Gruppi di sicurezza di rete (NSG) (consigliato): una funzione progettata per i componenti dell'applicazione che hanno impostazioni di sicurezza diverse. Creare un gruppo NSG contenente le regole richieste, quindi aggiungere il file system al gruppo NSG. In alternativa, è possibile aggiungere le regole richieste a un gruppo NSG esistente in precedenza e aggiungere il file system al gruppo NSG. Ogni file system può appartenere a un massimo di cinque (5) gruppi NSG.
  • Liste di sicurezza: la funzione firewall virtuale originale del servizio Networking. Quando si crea una VCN, viene creata anche una lista di sicurezza predefinita. Aggiungere le regole richieste alla lista di sicurezza per la sottorete che contiene il file system.
Importante

È possibile utilizzare i gruppi NSG da soli, le liste di sicurezza da soli o entrambi insieme. Dipende dalle vostre particolari esigenze di sicurezza. Se si utilizzano sia liste di sicurezza che gruppi di sicurezza di rete, l'insieme di regole che si applicano a una determinata VNIC è la combinazione dei seguenti elementi:

  • Le regole di sicurezza negli elenchi di sicurezza associati alla subnet della VNIC
  • Regole di sicurezza in tutti i gruppi NSG in cui si trova la VNIC

Non importa quale metodo si utilizza per applicare le regole di sicurezza alla VNIC del file system, a condizione che le porte per i protocolli necessari per lo storage di file con Lustre siano configurate correttamente nelle regole applicate.

Per ulteriori informazioni, esempi e scenari sull'interazione di queste funzioni nella rete, vedere Regole di sicurezza, Elenchi di sicurezza e Gruppi di sicurezza di rete. La panoramica sulla rete fornisce informazioni generali sulla rete.