Risoluzione dei problemi di rete con VTAP per OCI e Wireshark
Virtual Test Access Point (VTAP) per Oracle Cloud Infrastructure (OCI) fornisce informazioni dettagliate sul traffico di rete e acquisisce i dati necessari per un'analisi approfondita della rete. VTAP per OCI consente l'acquisizione e l'ispezione dei pacchetti di rete OCI per facilitare la risoluzione dei problemi, l'analisi della sicurezza e il monitoraggio dei dati senza influire sulle prestazioni.
- Una singola istanza di computazione
- Un'applicazione Load Balancer-as-a-Service (LBaaS) (layer 7, load balancer proxy)
- Un database sotto forma di servizio (DBaaS)
- Un cluster VM Exadata
- Un'istanza di Autonomous Data Warehouse che utilizza un endpoint privato
La destinazione è la risorsa che riceve il traffico con mirroring da un VTAP. Le destinazioni di VTAP possono essere:
- Un load balancer di rete (layer 4, load balancer non proxy)
Architettura
Questa architettura di riferimento mostra come VTAP per OCI e Wireshark possono essere utilizzati per monitorare il traffico di rete su vari punti dell'infrastruttura OCI e implementare una soluzione a costi contenuti per risolvere i problemi di rete nella tenancy OCI.
Il diagramma riportato di seguito mostra questa architettura di riferimento.
oci-vtap-network-wireshark-arch-oracle.zip
- LBaaS (layer 7, load balancer proxy) in una subnet pubblica
- VNIC di Application Server su cui il load balancer sta indirizzando il traffico verso
- Cluster Exadata in una subnet privata
- Sistemi DBaaS in una sottorete privata
- Accesso ai database autonomi tramite endpoint privato (PE)
Successivamente, è necessario passare dalla console OCI al VTAP con l'origine da cui si desidera acquisire i dettagli del traffico e applicare un filtro di acquisizione. Il filtro di acquisizione consente di acquisire solo il traffico richiesto in base ai seguenti fattori:
- Direzione del traffico
- Entrata
- Uscita
- Prefisso IPv4 CIDR o IPv6
- Origine
- Destinazione
- Protocollo IP
- Tutto il traffico
- ICMP: tipo ICMP, codice ICMP
- TCP: intervallo di porte di origine, intervallo di porte di destinazione
- UDP
- Intervallo porte di origine
- Intervallo di porte di destinazione
- ICMPv6
- Tipo ICMPv6
- Codice ICMPv6
L'architettura dispone dei seguenti componenti:
- Punto di accesso al test virtuale (VTAP)
Un Virtual Test Access Point (VTAP) consente di eseguire il mirroring del traffico da un'origine designata a una destinazione selezionata per facilitare la risoluzione dei problemi, l'analisi della sicurezza e il monitoraggio dei dati. VTAP utilizza un filtro di acquisizione, contenente un set di regole per determinare il traffico che esegue il mirror di VTAP.
- Host Wireshark
Wireshark è un analizzatore di pacchetti gratuito e open source che permette di catturare e analizzare il traffico. In questa architettura di riferimento, l'host Wireshark acquisisce il traffico di rete e può presentare i dati dei pacchetti acquisiti nel modo più dettagliato possibile. Il traffico può essere analizzato dalla riga di comando o scaricato in un sistema con l'interfaccia utente Wireshark per l'analisi grafica.
- Load Balancer as a Service (LBaaS) (layer 7, load balancer proxy)
Un servizio Oracle Cloud Infrastructure Load Balancing (layer 7, proxy load balancer) fornisce la distribuzione automatica del traffico da un singolo punto di ingresso a più server nel backend.
- Load balancer di rete (layer 4, load balancer non proxy)
Un load balancer di rete (layer 4, load balancer non proxy) fornisce la distribuzione automatica del traffico da un unico punto di ingresso a più server backend nelle tue reti cloud virtuali. Opera a livello di connessione e carica le connessioni client in entrata verso server backend in buono stato basati sui dati Layer3/Layer4 (protocollo IP).
- Servizio bastion
Il servizio Bastion di Oracle Cloud Infrastructure offre accesso sicuro limitato e limitato nel tempo alle risorse che non hanno endpoint pubblici e che richiedono controlli rigorosi dell'accesso alle risorse, quali Bare Metal e Virtual Machine. In questa architettura di riferimento, il servizio Bastion consente l'accesso sicuro agli host Wireshark backend anche quando gli host Wireshark non dispongono di endpoint pubblici.
- Area
Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).
- Domini di disponibilità
I domini di disponibilità sono data center indipendenti e autonomi all'interno di un'area geografica. Le risorse fisiche presenti in ogni dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, garantendo quindi la tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio alimentazione o raffreddamento, o la rete interna del dominio di disponibilità. È pertanto improbabile che l'eventuale guasto di un dominio di disponibilità influenzi gli altri domini di disponibilità nell'area.
- Domini di errore
Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore, dotati di alimentazione e hardware indipendenti. Quando si distribuiscono le risorse su più domini di errore, le applicazioni possono tollerare l'errore fisico del server, la manutenzione del sistema e gli errori di alimentazione all'interno di un dominio di errore.
- Rete cloud virtuale (VCN) e subnet
Una VCN è una rete personalizzabile definita dal software che si imposta in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono un controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi suddividere una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.
- Database autonomo
I database autonomi Oracle Cloud Infrastructure sono ambienti di database completamente gestiti e preconfigurati che è possibile utilizzare per l'elaborazione delle transazioni e i carichi di lavoro di data warehousing. Non è necessario configurare o gestire hardware o installare software. Oracle Cloud Infrastructure gestisce la creazione del database, nonché il backup, l'applicazione di patch, l'aggiornamento e il tuning del database.
- Sistema DB Exadata
Exadata Cloud Service ti consente di sfruttare la potenza di Exadata nel cloud. Puoi eseguire il provisioning di sistemi X8M flessibili che ti consentono di aggiungere server di calcolo e server di storage del database al tuo sistema di pari passo con la crescita delle tue esigenze. I sistemi X8M offrono reti RoCE (RDMA over Converged Ethernet) per moduli con larghezza di banda elevata e bassa latenza, memoria persistente (PMEM) e software Exadata intelligente. È possibile eseguire il provisioning dei sistemi X8M utilizzando una forma equivalente a un sistema X8 di rack e quindi aggiungere server di database e storage in qualsiasi momento dopo il provisioning.
- Application Server
Gli Application Server utilizzano un peer secondario che, come il database, subiranno l'elaborazione in caso di errore irreversibile. Gli Application Server utilizzano la configurazione e i metadati memorizzati sia nel database che nel file system. Il clustering di Application Server fornisce protezione nell'ambito di una singola area, ma le modifiche continue e le nuove distribuzioni devono essere replicate nella posizione secondaria su base continuativa per un recupero da errori irreversibili coerente.
- Tabella di instradamento
Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere attraverso i gateway.
- Lista di sicurezza
Per ogni subnet, puoi creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che devono essere consentiti verso e dall'esterno.
Suggerimenti
- VCN
Quando crei una rete VCN, determina il numero di blocchi CIDR necessari e la dimensione di ciascun blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Usare i blocchi CIDR che si trovano all'interno dello spazio di indirizzi IP privati standard.
Selezionare i blocchi CIDR che non si sovrappongono ad altre reti (in Oracle Cloud Infrastructure, nel data center on premise o in un altro provider cloud) in cui si desidera impostare connessioni private.
Dopo aver creato una VCN, puoi modificare, aggiungere e rimuovere i relativi blocchi CIDR.
Quando si progettano le subnet, considerare i requisiti di flusso di traffico e sicurezza. Collegare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.
- Larghezza di banda LBaaS (layer 7, load balancer proxy)
Durante la creazione del load balancer, puoi selezionare una forma predefinita che fornisce una larghezza di banda fissa oppure specificare una forma (flessibile) personalizzata in cui impostare un intervallo di larghezza di banda e lasciare che il servizio scali automaticamente la larghezza di banda in base ai pattern di traffico. Grazie a entrambi i metodi, puoi modificare la forma in qualsiasi momento dopo aver creato il load balancer.
- Load balancer di rete (layer 4, load balancer non proxy)
Specificare se si desidera un load balancer di rete privato o pubblico, quindi creare il listener e i set backend. Si consiglia di impostare il listener per la porta UDP 4789, ovvero la porta per VXLAN (il traffico in mirroring VTAP viene incapsulato nella VXLAN). In questo modo, il load balancer di rete ascolterà e bilancierà il carico di tutto il traffico in mirroring.
Considerazioni
Prendere in considerazione le opzioni riportate di seguito durante la distribuzione di questa architettura di riferimento.
- Costo
Non sono previsti costi per la creazione di VTAP se si dispone di una sottoscrizione OCI. Il load balancer di rete utilizzato come destinazione per VTAP fa parte del livello gratuito. La VM ospitata per Wireshark può trovarsi anche nel livello gratuito.