Matrice di porta e protocollo di rete
Compute Cloud@Customer richiede la concessione delle autorizzazioni di accesso per determinati indirizzi IP, porte e protocolli.
La postura di sicurezza predefinita per quasi tutti i firewall è quella di negare l'accesso. Ciò si applica ai firewall utilizzati tra il rack Compute Cloud@Customer e il data center del cliente.
Per consentire il corretto funzionamento di determinate funzioni di Compute Cloud@Customer, è necessario concedere l'accesso per determinati indirizzi IP e servizi correlati. Una regola "consenti tutto", ad esempio 0.0.0.0/0, è troppo ampia per motivi di sicurezza, pertanto è consigliabile elencare in modo esplicito indirizzi, porte e protocolli da consentire.
Compute Cloud@Customer viene installato con connessioni a reti diverse per scopi diversi (vedere Requisiti di rete del sito del cliente). Per motivi di sicurezza, Compute Cloud@Customer isola la rete di amministrazione dalla rete di dati del cliente.
Durante l'installazione di Compute Cloud@Customer, Oracle configura le reti isolate e collabora con l'amministratore di rete per configurare le porte di rete in modo che funzionino all'interno del tuo ambiente.
Nella tabella seguente sono elencate le autorizzazioni di accesso per determinati indirizzi IP, porte e protocolli concessi per l'isolamento del centro dati e della rete di amministrazione.
Chiave tabella:
- Cliente - Accesso amministratore cliente per la gestione delle risorse Compute Cloud@Customer
- Oracle: accesso amministratore Oracle, accessibile solo da Oracle quando il cliente può accedere tramite Oracle Operator Access Control.
| Indirizzo IP di origine |
Indirizzo IP di destinazione |
Porta |
Protocollo |
descrizione; |
|---|---|---|---|---|
| Tutte le reti clienti | VIP cliente | ICMP | Digitare 0/Echo reply | |
| Amministratori Oracle | VIP Oracle | ICMP | Digitare 0/Echo reply | |
| Tutte le reti clienti | Nodi di gestione | ICMP | Digitare 0/Echo reply | |
| Tutte le reti clienti | IP di storage degli oggetti | ICMP | Digitare 0/Echo reply | |
| Tutte le reti clienti | VIP cliente | ICMP | Tipo 3/Non raggiungibile | |
| Amministratori Oracle | VIP Oracle | ICMP | Tipo 3/Non raggiungibile | |
| Tutte le reti clienti | Nodi di gestione | ICMP | Tipo 3/Non raggiungibile | |
| Tutte le reti clienti | IP di storage degli oggetti | ICMP | Tipo 3/Non raggiungibile | |
| Tutte le reti clienti | VIP cliente | ICMP | Tipo 8/ping a VIP | |
| Amministratori Oracle | VIP Oracle | ICMP | Tipo 8/ping a VIP | |
| Amministratori Oracle | Nodi di gestione | ICMP | Tipo 8/ping al nodo | |
| Tutte le reti clienti | IP di storage degli oggetti | ICMP | Tipo 8/ping a VIP | |
| Amministratori Oracle | VIP Oracle | 22 | TCP | Da SSH a nodo di gestione attivo |
| Amministratori Oracle | Nodi di gestione | 22 | TCP | SSH a nodo di gestione specifico |
| IP DNS per l'installazione iniziale | VIP cliente | 53 | UDP | Zone autorizzate |
| IP DNS per l'installazione iniziale | VIP cliente | 53 | TCP | Zone autorizzate |
| IP DNS per l'installazione iniziale | VIP Oracle | 53 | UDP | Zona amministrativa |
| IP di installazione iniziale AdminDNS | VIP Oracle | 53 | TCP | Zona amministrativa |
| Nodi di gestione | IP DNS per l'installazione iniziale | 53 | UDP | Risoluzione DNS esterna per rete dati |
| Nodi di gestione | IP DNS per l'installazione iniziale | 53 | TCP | Risoluzione DNS esterna per rete dati |
| Nodi di gestione | IP di installazione iniziale AdminDNS | 53 | UDP | Risoluzione DNS esterna per rete di amministrazione |
| Nodi di gestione | IP di installazione iniziale AdminDNS | 53 | TCP | Risoluzione DNS esterna per rete di amministrazione |
| Amministratori Oracle | VIP Oracle | 443 | TCP | Endpoint e BUI delle API Oracle |
| Tutti gli utenti di Compute Cloud@Customer | VIP cliente | 443 | TCP | Endpoint e BUI API Compute Cloud@Customer |
| Tutti gli utenti di Compute Cloud@Customer | VIP cliente | 8.079 | TCP | Repository download immagini |
| Amministratori Oracle | VIP Oracle | 30.006 | TCP | CLI amministratore |
| Amministratori Oracle | Nodi di gestione | 30.006 | TCP | CLI amministratore |
| VIP cliente | Server ricorsivi DNS | 53 | UDP | Inoltro DNS |
| VIP cliente | Server ricorsivi DNS | 53 | TCP | Inoltro DNS |
| VIP Oracle | Server ricorsivi DNS | 53 | UDP | Inoltro DNS |
| VIP Oracle | Server ricorsivi DNS | 53 | TCP | Inoltro DNS |
| VIP Oracle | Server NTP cliente | 123 | UDP | NTP |
| VIP Oracle | Di solito transport.oracle.com | 443 | TCP | Obiettivi ASR |
| VIP Oracle | Destinazioni notifica Oracle Grafana | 443 | TCP | Destinazioni notifica Grafana |
| VIP Oracle | Mirror ULN locale Oracle | 443 | TCP | applicazione patch |
| VIP cliente | Repository immagine locale | 443 | TCP | Importazione immagine personalizzata from-object-uri |
| Nodi di gestione | Indirizzo IP pubblico del load balancer | 6.443 | TCP | Endpoint dell'indirizzo IP pubblico del load balancer |
|
Tutte le reti dei clienti |
Console istanza | 1.443 | TCP | Connessioni console istanza |