1. Archivia il traffico di rete con mirroring in OCI Object Storage
  2. Archivia il traffico di rete con mirroring nello storage degli oggetti OCI

Archivia il traffico di rete con mirroring nello storage degli oggetti OCI

Oracle Cloud Infrastructure Virtual Test Access Point (VTAP) è un servizio di mirroring del traffico di rete che acquisisce una copia del traffico di rete da un'origine specificata, applica filtri per concentrarsi sui dati pertinenti e lo invia a una destinazione per l'analisi. In questo modo sarà possibile migliorare la risoluzione dei problemi di rete, il monitoraggio della sicurezza, l'analisi delle prestazioni di rete e l'audit della conformità.

Architettura

Questa architettura mostra come utilizzare Oracle Cloud Infrastructure (OCI) per archiviare il traffico in mirroring da VTAP a OCI Object Storage.

L'archiviazione del traffico di rete può essere necessaria per motivi di conformità. Inoltre, l'archiviazione del traffico di rete offre vantaggi nella risoluzione di problemi di rete sfuggenti o intermittenti. È possibile analizzare in modo selettivo l'acquisizione di rete del traffico di produzione passato in base alle esigenze.

Il seguente diagramma illustra questa architettura di riferimento.

Descrizione di oci-vtap-archiver.png
Descrizione dell'immagine oci-vtap-archiver.png

oci-vtap-archiver-oracle.zip

A scopo illustrativo, un semplice server Web HTTP si trova in una subnet pubblica con i propri client nella prima subnet privata. I client utilizzano il comando HTTP GET curl per scaricare i file dal file server HTTP. Questi client sono impostati come origini VTAP in questa illustrazione. Viene eseguito il mirroring solo del traffico HTTP con VTAP. Il load balancer di rete OCI riceve il traffico in mirroring dal VTAP e lo bilancia tra i nodi del server backend. Questi nodi backend caricano quindi l'acquisizione di rete nello storage degli oggetti OCI. È possibile che nell'ambiente in uso siano presenti server Web o un'istanza di database come origine per l'impostazione VTAP. Il resto del design rimarrà in genere lo stesso nell'implementazione.

Le linee tratteggiate verticali tra i seguenti componenti indicano che è possibile configurare flussi VTAP aggiuntivi: da client 1 a client #n, che fungono da origini VTAP, e da VTAP Sink 1 a VTAP Sink #m, nodi che eseguono l'archiviazione in OCI Object Storage.

La configurazione Terraform creerà una VCN con le tre subnet seguenti:
  • Subnet pubblica: contiene un singolo host, che funge sia da file server HTTP che da jumpbox per accedere ai nodi nelle due subnet private. Potrebbe essere necessario un server jumpbox o bastion in una subnet pubblica nell'ambiente di produzione per accedere ai nodi di una subnet privata allo scopo di risolvere problemi o effettuare altre operazioni di manutenzione.
  • Subnet privata: ospita i nodi che scaricano un file fittizio dal file server HTTP per creare traffico HTTP. Questi nodi fungono da origini per il VTAP e il relativo traffico viene sottoposto a mirroring dal VTAP con un filtro di acquisizione appropriato. A questi nodi verrà fatto riferimento come nodi Origine VTAP. Ogni nodo di origine VTAP dispone di un proprio VTAP separato.
  • Subnet privata: contiene un load balancer di rete (NLB, Network Load Balancer) che funge da destinazione per i VTAP. Il load balancer di rete flessibile OCI dispone di nodi backend che eseguono l'acquisizione di rete del traffico VTAP come file pcap e li archiviano in un bucket. Questi nodi vengono chiamati nodi VTAP Sink. I nodi VTAP Sink e NLB risiedono nella stessa subnet privata.

VTAP è configurato con un filtro di acquisizione per acquisire solo il traffico di rete delle richieste HTTP GET inviate da queste origini VTAP al file server HTTP nella nostra subnet pubblica. Il VTAP viene impostato sulla VNIC primaria dei nodi di origine VTAP.

Puoi scegliere l'area e il compartimento per la tua distribuzione. Tutte le risorse vengono create nell'area e nel compartimento specificati. Viene creato anche il bucket di storage degli oggetti OCI per archiviare i file pcap.

L'architettura presenta i seguenti componenti:

  • Area

    Un'area geografica Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e grandi distanze possono separarle (tra paesi o addirittura continenti).

  • Rete cloud virtuale (VCN) e subnet

    Una VCN è una rete personalizzabile e definita dal software configurata in un'area Oracle Cloud Infrastructure. Come le tradizionali reti di data center, le reti VCN consentono di controllare l'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

  • VTAP

    Un punto di accesso di test virtuale (VTAP) fornisce un modo per eseguire il mirroring del traffico da un'origine designata a una destinazione selezionata per facilitare la risoluzione dei problemi, l'analisi della sicurezza e il monitoraggio dei dati.

  • Load balancer di rete (NLB)

    Il load balancer di rete flessibile OCI fornisce la distribuzione automatica del traffico da un unico punto di accesso a più server in un set backend. I load balancer di rete garantiscono che i servizi rimangano disponibili indirizzando il traffico solo ai server in buono stato in base ai dati del protocollo IP ( Layer 3/Layer 4). Qui utilizziamo il load balancer di rete flessibile OCI per bilanciare il carico del traffico VXLAN UDP sui nodi VTAP Sink.

  • Storage degli oggetti

    Lo storage degli oggetti Oracle Cloud Infrastructure fornisce un accesso rapido a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi backup del database, dati analitici e contenuti avanzati come immagini e video. Puoi memorizzare e quindi recuperare i dati direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare lo storage senza alcun deterioramento delle prestazioni o dell'affidabilità del servizio. Utilizza lo storage standard per lo storage "caldo" a cui è necessario accedere rapidamente, immediatamente e frequentemente. Utilizza lo storage di archivio per lo storage "freddo" che conservi per lunghi periodi di tempo e a cui accedi raramente o raramente.

  • Gateway del servizio

    Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, come Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN al servizio Oracle viene instradato sul fabric di rete Oracle e non attraversa Internet.

  • Gateway Internet

    Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.

Suggerimenti

Utilizzare i seguenti suggerimenti come punto di partenza. Le vostre esigenze potrebbero differire dall'architettura descritta qui.
  • VCN

    Quando crei una VCN, determina il numero di blocchi CIDR necessari e la dimensione di ciascun blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Utilizzare i blocchi CIDR all'interno dello spazio di indirizzi IP privati standard.

    Selezionare i blocchi CIDR che non si sovrappongono a qualsiasi altra rete (in Oracle Cloud Infrastructure, nel data center on premise o in un altro provider cloud) a cui si intende impostare connessioni private.

    Dopo aver creato una VCN, puoi modificarne, aggiungerne e rimuoverne i blocchi CIDR.

    Quando si progettano le subnet, considerare il flusso di traffico e i requisiti di sicurezza. Collega tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.

    Utilizzare le subnet regionali.

  • Limiti di connessione al load balancer di rete

    OCI L3/L4 Network Load Balancer è un servizio gratuito e si ridimensiona automaticamente in modo dinamico in base al traffico. I load balancer di rete hanno un limite di connessione concorrente predefinito di 330.000 connessioni per ogni dominio di disponibilità (AD, Availability Domain). Per impostazione predefinita, in tre aree AD i load balancer di rete hanno un limite di connessione simultaneo di un milione.

  • Liste di sicurezza

    Utilizza le liste di sicurezza per definire regole di entrata e uscita che si applicano all'intera subnet.

  • Gruppi di sicurezza di rete (NSG)

    Puoi utilizzare i gruppi NSG per definire un set di regole in entrata e in uscita che si applicano a VNIC specifiche. Si consiglia di utilizzare i gruppi NSG anziché gli elenchi di sicurezza, poiché i gruppi NSG consentono di separare l'architettura della subnet della VCN dai requisiti di sicurezza dell'applicazione.

  • Per informazioni dettagliate sul filtro di acquisizione, vedere il file vtap.tf in GitHub.
  • Vedere il file cloud_init/vtap_sink.yml per i dettagli sulla configurazione di tcpdump e sul funzionamento del decapsulamento del traffico in mirroring incapsulato con VXLAN.

Considerazioni

Durante l'implementazione di questa soluzione, tenere presente quanto riportato di seguito.

  • Traffico protocollo Internet

    Questa soluzione viene sviluppata e testata solo per il traffico IPv4.

  • Autorizzazioni

    Per creare tutte le risorse OCI necessarie per questa distribuzione, è necessario disporre delle autorizzazioni Oracle Cloud Infrastructure Identity and Access Management necessarie per il compartimento e l'area scelti.

  • Parametri configurabili

    Per visualizzare tutti i parametri configurabili, vedere il file variables.tf.

  • Origini e regole VTAP
    • Un VTAP deve sempre avere un'origine, una destinazione e un filtro di acquisizione associato.
    • A un filtro di acquisizione deve essere sempre associata almeno una regola.
    • Una VNIC non può mai essere un'origine per più VTAP.

Distribuire

Scaricare il codice da GitHub, personalizzarlo e distribuirlo. Terraform imposterà tutte le risorse necessarie all'interno della tenancy OCI.

Puoi utilizzare la distribuzione con un clic utilizzando OCI Resource Manager o scaricare il codice per la distribuzione da un computer di sviluppo locale.

I link sono disponibili sul sito GitHub.

  1. Passare a GitHub.
  2. Viene visualizzata la sezione Distribuisci del documento README.
  3. Seguire le istruzioni riportate nel documento README.

Visualizza altro

Ulteriori informazioni su Oracle Cloud Infrastructure e sul mirroring della rete:

Esamina queste risorse aggiuntive:

conferme

  • Autore: Mayur Raleraskar