1. Netzwerkprobleme mit VTAP für OCI und Wireshark beheben
  2. Netzwerkprobleme mit VTAP für OCI und Wireshark beheben

Netzwerkprobleme mit VTAP für OCI und Wireshark beheben

Der virtuelle Testzugriffspunkt (VTAP) für Oracle Cloud Infrastructure (OCI) bietet Einblick in Ihren Netzwerkdatenverkehr und erfasst die erforderlichen Daten für detaillierte Netzwerkanalysen. VTAP für OCI ermöglicht die Erfassung und Prüfung von OCI-Netzwerkpaketen aus der Band, um Fehlerbehebung, Sicherheitsanalyse und Datenüberwachung zu vereinfachen, ohne die Performance zu beeinträchtigen.

Die VTAP-Funktionalität wird auch als Traffic Mirroring bezeichnet. Mit einem VTAP kann der Netzwerktraffic aus verschiedenen Quellen im OCI-Netzwerk gespiegelt und an ein Zielüberwachungsgerät übermittelt werden. VTAP unterstützt sowohl die IPv4- als auch die IPv6-Verkehrsspiegelung. VTAP kann Traffic aus den folgenden Quellen spiegeln:
  • Eine einzelne Compute-Instanz
  • Ein Anwendungs-Load Balancer-as-a-Service (LBaaS) (Schicht 7, Proxy-Load-Balancer)
  • Ein Database-as-a-Service (DBaaS)
  • Ein Exadata-VM-Cluster
  • Eine Autonomous Data Warehouse-Instanz mit einem privaten Endpunkt

Das Ziel ist die Ressource, die Traffic empfängt, der von einem VTAP gespiegelt wird. VTAP-Ziele können:

  • Ein Network Load Balancer (Layer 4, Nicht-Proxy Load Balancer)

Architektur

Diese Referenzarchitektur zeigt, wie mit VTAP für OCI und Wireshark Netzwerkdatenverkehr an verschiedenen Punkten in Ihrer OCI-Infrastruktur überwacht und eine kosteneffektive Lösung zur Fehlerbehebung von netzwerkbezogenen Problemen in Ihrem OCI-Mandanten implementiert werden kann.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.


Beschreibung von oci-vtap-network-wireshark-arch.png folgt
Beschreibung der Abbildung oci-vtap-network-wireshark-arch.png

OCI-vtap-network-wireshark-arch-oracle.zip

In dieser Referenzarchitektur werden VTAPs erstellt, um Traffic aus den folgenden Quellen zu erfassen:
  • LBaaS (Schicht 7, Proxy-Load Balancer) in einem öffentlichen Subnetz
  • VNICs von Anwendungsservern, an die der Load Balancer Traffic weiterleitet
  • Exadata-Cluster in einem privaten Subnetz
  • DBaaS-Systeme in einem privaten Subnetz
  • Autonome Datenbanken, auf die über einen privaten Endpunkt (PE) zugegriffen wird
Der von jedem VTAP erfasste Datenverkehr wird an einen Network Load Balancer (Layer 4, Non-Proxy Load Balancer) mit Backend-Hosts in einem separaten privaten Subnetz geleitet. Auf den Hosts ist die Wireshark Paketanalysesoftware installiert. Ein Bastion-Service ermöglicht den Zugriff auf die Backend-Hosts. Um eine Paketaufnahme zu starten, können Sie über den Bastion-Service auf den Wireshark-Host zugreifen und eine Erfassung über die Befehlszeile Wireshark erstellen.

Als Nächstes müssen Sie von der OCI-Konsole zur VTAP mit der Quelle navigieren, aus der Sie Trafficdetails erfassen möchten, und einen Capture-Filter anwenden. Mit dem Capture-Filter können Sie nur den erforderlichen Traffic basierend auf den folgenden Faktoren erfassen:

Einschließen/Ausschließen:
  • Verkehrsrichtung
    • Ingress
    • Egress
  • IPv4 CIDR- oder IPv6-Präfix
    • Quelle
    • Ziel
  • IP-Protokoll
    • Gesamter Datenverkehr
    • ICMP: ICMP-Typ, ICMP-Code
    • TCP: Quellportbereich, Zielportbereich
  • UDP
    • Quellportbereich
    • Zielportbereich
  • ICMPv6
    • Typ ICMPv6
    • ICMPv6-Code
Anschließend können Sie den Capture-Prozess starten. Netzwerkaufnahmen können direkt vom Wireshark-Host über die Befehlszeile angezeigt oder in eine Datei geschrieben oder mit Wireshark UI zur weiteren Analyse auf ein System heruntergeladen werden.

Die Architektur umfasst die folgenden Komponenten:

  • Virtueller Testzugriffspunkt (VTAP)

    Ein virtueller Testzugriffspunkt (VTAP) bietet eine Möglichkeit, Traffic von einer angegebenen Quelle zu einem ausgewählten Ziel zu spiegeln, um Fehlerbehebung, Sicherheitsanalyse und Datenüberwachung zu erleichtern. Der VTAP verwendet einen Capture-Filter, der eine Gruppe von Regeln enthält, die steuern, welcher Traffic von einem VTAP gespiegelt wird.

  • Wireshark-Host

    Wireshark ist ein kostenloses Open-Source-Paketanalyseprogramm, mit dem Traffic erfasst und analysiert werden kann. In dieser Referenzarchitektur erfasst der Wireshark-Host den Netzwerkverkehr und kann erfasste Paketdaten so detailliert wie möglich darstellen. Der Datenverkehr kann entweder über die Befehlszeile analysiert oder mit der Wireshark-UI zur grafischen Analyse auf ein System heruntergeladen werden.

  • Load Balancer as a Service (LBaaS) (Schicht 7, Proxy-Load Balancer)

    Ein Oracle Cloud Infrastructure Load Balancing-Service (Schicht 7, Proxy-Load Balancer) stellt eine automatisierte Trafficverteilung von einem einzelnen Einstiegspunkt auf mehrere Server im Backend bereit.

  • Network Load Balancer (Schicht 4, Nicht-Proxy-Load Balancer)

    Ein Network Load Balancer (Schicht 4, Nicht-Proxy-Load Balancer) bietet automatisierte Trafficverteilung von einem Einstiegspunkt auf mehrere Backend-Server in Ihren virtuellen Cloud-Netzwerken. Der Service wird auf Verbindungsebene ausgeführt, und es werden eingehende Clientverbindungen zu fehlerfreien Backend-Servern basierend auf den IP-Protokolldaten (Layer3/Layer4) geladen.

  • Bastionservice

    Der Oracle Cloud Infrastructure-Bastion-Service ermöglicht den eingeschränkten und zeitlich begrenzten sicheren Zugriff auf Ressourcen, die keine öffentlichen Endpunkte aufweisen und für die strenge Ressourcenzugriffskontrollen erforderlich sind, wie Bare-Metal- und virtuelle Maschinen. In dieser Referenzarchitektur ermöglicht der Bastionsservice sicheren Zugriff auf die Backend-Hosts Wireshark, selbst wenn die Wireshark-Hosts keine öffentlichen Endpunkte haben.

  • Region

    Eine Oracle Cloud Infrastructure-Region ist ein lokalisierter geografischer Bereich, der ein oder mehrere Data Center, so genannte Availability-Domains, enthält. Regionen sind nicht von anderen Regionen abhängig, und große Distanzen können sie trennen (über Länder oder sogar Kontinente).

  • Availability-Domains

    Availability-Domains sind eigenständige, unabhängige Data Center innerhalb einer Region. Die physischen Ressourcen in jeder Availability-Domain sind von den Ressourcen in den anderen Availability-Domains isoliert, was Fehlertoleranz bietet. Availability-Domains haben keine gemeinsame Infrastruktur wie Stromversorgung oder Kühlung oder das interne Availability-Domainnetzwerk. Es ist also unwahrscheinlich, dass der Fehler in einer Availability-Domain die anderen Availability-Domains in der Region beeinflusst.

  • Faultdomains

    Eine Faultdomain ist eine Gruppierung aus Hardware und Infrastruktur innerhalb einer Availability-Domain. Jede Availability-Domain umfasst drei Faultdomains mit unabhängiger Stromversorgung und Hardware. Wenn Sie Ressourcen über mehrere Faultdomains verteilen, können Ihre Anwendungen Fehler, Systemwartung und Stromausfälle innerhalb einer Faultdomain tolerieren.

  • Virtuelles Cloud-Netzwerk (VCN) und Subnetze

    Ein VCN ist ein anpassbares, Softwaredefiniertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten. Wie bei traditionellen Data Center-Netzwerken haben VCNs die vollständige Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die für eine Region oder eine Availability-Domain gelten können. Jedes Subnetz besteht aus einem nachfolgenden Adressbereich, der sich nicht mit den anderen Subnetzen im VCN überschneidet. Sie können die Größe eines Subnetzes nach dem Erstellen ändern. Ein Subnetz kann öffentlich oder privat sein.

  • Autonome Datenbank

    Autonome Oracle Cloud Infrastructure-Datenbanken sind vollständig verwaltete, vorkonfigurierte Datenbankumgebungen, die Sie zur Transaktionsverarbeitung und Data Warehousing-Workloads verwenden können. Sie müssen keine Hardware konfigurieren oder verwalten und keine Software installieren. Oracle Cloud Infrastructure verarbeitet das Erstellen der Datenbank sowie das Backup, Patching, Upgrade und Tuning der Datenbank.

  • Exadata-DB-System

    Mit Exadata Cloud Service können Sie die Vorteile von Exadata in der Cloud nutzen. Sie können flexible X8M-Systeme bereitstellen, mit denen Sie Datenbank-Compute-Server und Speicherserver zu Ihrem System hinzufügen können, wenn Ihre Anforderungen steigen. X8M-Systeme bieten Networking vom Typ RoCE (RDMA over Converged Ethernet) für Module mit hoher Bandbreite und geringer Latenz, persistenter Speicher (PMEM) und intelligenter Exadata-Software. Sie können X8M-Systeme mit einer Ausprägung bereitstellen, die einem Quarter-Rack-System X8 entspricht, und dann Datenbank- und Speicherserver nach dem Provisioning jederzeit hinzufügen.

  • Anwendungsserver

    Anwendungsserver verwenden einen sekundären Peer, der wie die Datenbank die Verarbeitung im Notfall übernimmt. Anwendungsserver verwenden Konfiguration und Metadaten, die sowohl in der Datenbank als auch im Dateisystem gespeichert sind. Das Clustering von Anwendungsservern bietet Schutz im Rahmen einer einzelnen Region. Für ein konsistentes Disaster Recovery müssen jedoch fortlaufende Änderungen und neue Deployments fortlaufend am sekundären Speicherort repliziert werden.

  • Routentabelle

    Virtuelle Routentabellen enthalten Regeln, um Traffic von Subnetzen an Ziele außerhalb eines VCN weiterzuleiten, in der Regel über Gateways.

  • Sicherheitsliste

    Für jedes Subnetz können Sie Sicherheitsregeln erstellen, die Quelle, Ziel und Traffictyp angeben, die in das Subnetz ein- und ausgehen dürfen.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt. Ihre Anforderungen können sich von der hier beschriebenen Architektur unterscheiden.
  • VCN

    Wenn Sie ein VCN erstellen, bestimmen Sie die Anzahl der erforderlichen CIDR-Blöcke und die Größe jedes Blocks basierend auf der Anzahl der Ressourcen, die Sie an Subnetze im VCN anhängen möchten. Verwenden Sie CIDR-Blöcke, die sich im privaten Standardadressbereich befinden.

    Wählen Sie CIDR-Blöcke aus, die sich nicht mit einem anderen Netzwerk (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, für das Sie private Verbindungen einrichten möchten.

    Nachdem Sie ein VCN erstellt haben, können Sie die zugehörigen CIDR-Blöcke ändern, hinzufügen und entfernen.

    Berücksichtigen Sie bei der Entwicklung der Subnetze Ihren Trafficfluss und Ihre Sicherheitsanforderungen. Hängen Sie alle Ressourcen innerhalb einer bestimmten Tier oder Rolle an dasselbe Subnetz an, das als Sicherheitsgrenze dienen kann.

  • LBaaS-Bandbreite (Schicht 7, Proxy-Load-Balancer)

    Beim Erstellen des Load Balancers können Sie entweder eine vordefinierte Ausprägungen mit fester Bandbreite auswählen oder eine benutzerdefinierte (flexible) Ausprägungen angeben, bei der Sie einen Bandbreitenbereich festlegen und der Service die Bandbreite automatisch basierend auf Trafficmustern skalieren lässt. Bei beiden Lösungen können Sie die Ausprägungen nach dem Erstellen des Load Balancers jederzeit ändern.

  • Network Load Balancer (Schicht 4, Nicht-Proxy-Load Balancer)

    Geben Sie an, ob ein privater oder öffentlicher Network Load Balancer sein soll, und erstellen Sie dann den Listener und die Backend-Sets. Es wird empfohlen, den Listener für den UDP-Port 4789 festzulegen. Dies ist der Port für VXLAN (der gespiegelte VTAP-Datenverkehr wird in VXLAN gekapselt). Dadurch wird sichergestellt, dass der Network Load Balancer den gespiegelten Traffic abhört und auslastet.

Hinweise

Beachten Sie die folgenden Optionen beim Deployment dieser Referenzarchitektur.

  • Kostenfaktor

    Bei einem OCI-Abonnement fallen keine Kosten für die Erstellung von VTAP an. Der als Ziel für VTAP verwendete Network Load Balancer ist Teil der Free Tier. Die gehostete VM für Wireshark kann sich auch in der kostenlosen Version befinden.

Mehr anzeigen

Weitere Informationen zu den Features dieser Architektur finden Sie in diesen zusätzlichen Ressourcen.

Bestätigungen

  • Autor: Hwang-Chiping
  • Mitwirkender: Anupama Pundpal