Documentação do Oracle Cloud Infrastructure

Estabelecendo Conexão com Nós do Cluster com Endereços IP Privados

Por padrão, os nós de cluster recebem endereços IP privados e, portanto, não estão disponíveis publicamente na Internet. Você pode disponibilizá-los de qualquer uma das maneiras descritas nos seguintes tópicos:

Mapear um Endereço IP Privado para um Endereço IP Público

Os nós do Big Data Service são, por padrão, endereços IP privados designados, que não são acessíveis da internet pública. Uma maneira de tornar um nó acessível pela internet é mapear o endereço IP privado de um nó para um endereço IP público.

As instruções abaixo usam o Oracle Cloud Infrastructure Cloud Shell, que é um terminal baseado em browser da web acessível na Console do Oracle Cloud. Você coletará algumas informações sobre sua rede e seus nós de cluster e, em seguida, passará essas informações para comandos no shell. Para executar essa tarefa, você deve ter um cluster em execução em uma VCN em sua tenancy e esse cluster deve ter uma sub-rede pública regional.

Para exibir informações do cluster, consulte Obtendo Detalhes de um Cluster.

Privilégios Necessários do IAM para Mapear Endereços IP Privados para Públicos

Cuidado

Esta é uma das maneiras de anexar um endereço IP público a um nó. No entanto, não recomendamos o uso deste método devido ao aumento dos riscos de ataque. Recomendamos usar uma das outras opções:

Você deve ter privilégios apropriados do Oracle Infrastructure Identity and Access Management (IAM) para mapear endereços IP privados para públicos.

O administrador da tenancy ou um administrador delegado com os privilégios adequados deve criar uma política de acordo com as diretrizes a seguir.

Grupo

A política pode designar privilégios a qualquer grupo do Big Data Service para fornecer aos membros desse grupo os direitos de mapear endereços IP.

Permissões

A política deve conter instruções de política com as seguintes permissões do IAM:
  • vnic_read
  • private_ip_read
  • public_ip_read
  • public_ip_delete
  • public_ip_create
  • public_ip_update
  • private_ip_assign_public_ip
  • private_ip_unassign_public_ip
  • public_ip_assign_private_ip
  • public_ip_unassign_private_ip

Recurso

A política deve especificar a tenancy ou o <compartment_name> do compartimento que contém a sub-rede usada para os endereços IP.

Exemplo

allow group bds_net_admins to vnic_read in tenancy
allow group bds_net_admins to private_ip_read in tenancy
allow group bds_net_admins to public_ip_read in tenancy
allow group bds_net_admins to public_ip_delete in tenancy
allow group bds_net_admins to public_ip_create in tenancy 
allow group bds_net_admins to public_ip_update in tenancy 
allow group bds_net_admins to private_ip_assign_public_ip in tenancy 
allow group bds_net_admins to private_ip_unassign_public_ip in tenancy 
allow group bds_net_admins to public_ip_assign_private_ip in tenancy
allow group bds_net_admins to public_ip_unassign_private_ip in tenancy

Mapeando um Endereço IP Privado para um Endereço IP Público

  1. Na Console do Cloud, selecione o ícone Cloud Shell Cloud Shell na parte superior da página. Pode levar alguns instantes para se conectar e autenticá-lo.

    1. export DISPLAY_NAME=<display-name>

      export SUBNET_OCID=<subnet-ocid>

      export PRIVATE_IP=<ip-address>

      oci network public-ip create --display-name $DISPLAY_NAME --compartment-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."compartment-id"'` --lifetime "RESERVED" --private-ip-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."id"'`

      As instruções export definem variáveis que são usadas no comando oci network a seguir. As variáveis são:

      • <display-name> (opcional) é um "nome amigável" que é anexado ao endereço IP público reservado. Este nome não é pré-existente, ele é criado ao executar este comando.

        Por conveniência, talvez você queira usar o nome do nó cujo endereço IP privado você está mapeando, por exemplo, myclusun0, que é o nome do primeiro nó do utilitário em um cluster chamado mycluster.

      • <subnet-ocid> é o OCID da sub-rede pública do cliente usada pelo cluster, por exemplo, ocid1.subnet.oc1.iad....

      • <ip-address> é o endereço IP privado designado ao nó que você deseja mapear, por exemplo, 192.0.2.1.

      Informe o comando começando com oci network public-ip create --compartment-id... exatamente como mostrado acima, sem interrupções.

      Por exemplo:

      $ export DISPLAY_NAME="myclustun0"
$ export SUBNET_OCID="ocid1.subnet.oc1.…"
$ export PRIVATE_IP="192.0.2.1"
$ oci network public-ip create --display-name $DISPLAY_NAME --
compartment-id `oci network private-ip list --subnet-id $SUBNET_OCID --ip-
address $PRIVATE_IP | jq -r '.data[] | ."compartment-id"'` --lifetime 
"RESERVED" - private-ip-id `oci network private-ip list --subnet-id 
$SUBNET_OCID --ip-address $PRIVATE_IP | jq -r '.data[] | ."id"'`
      A saída retornada é:
      { "data": {
    "assigned-entity-id": "ocid1.privateip.oc1...",
    "assigned-entity-type": "PRIVATE_IP",
    "availability-domain": null,
    "compartment-id": "ocid1.compartment.oc1...",
    "defined-tags": {},
    "display-name": "publicip...",
    "freeform-tags": {},
    "id": "ocid1.publicip.oc1....",
    "ip-address": "203.0.113.1",
    "lifecycle-state": "ASSIGNED",
    "lifetime": "RESERVED",
    "private-ip-id": "ocid1.privateip....",
    "scope": "REGION",
    "time-created": "2020-04-13..."
   },
   "etag": "1234abcd" 
}
  2. Na saída retornada, localize o valor de ip-address. No exemplo acima, é 203.0.113.1. Este é o novo endereço IP público reservado que é mapeado para o endereço IP privado do nó.
  3. Para ver o endereço IP público reservado na console, selecione o menu. menu de navegação
  4. Em Rede, selecione Redes Virtuais na Nuvem.
  5. Na lista de navegação à esquerda, em Rede, selecione Gerenciamento de IPs.
    O novo endereço IP público reservado aparecerá na lista Endereços IPs Públicos Reservados. Se você forneceu um nome para exibição no comando que você executou, acima, esse nome será exibido na coluna Nome do . Caso contrário, será gerado um nome, como publicipnnnnnnnnn.

Excluindo um Endereço IP Público

  1. Na Console do Cloud, selecione o ícone Cloud Shell Cloud Shell na parte superior da página. Pode levar alguns instantes para se conectar e autenticá-lo.
  2. Execute oci network public-ip delete --public-ip-id ocid1.publicip.oc1....

    O valor de --public-ip-id é mostrado na saída retornada pelo comando anterior, conforme mostrado acima: "id": "ocid1.publicip.oc1....",.

  3. (Opcional) Como alternativa, você pode ir para a página Endereços IPs Públicos Reservados do serviço Networking, na Console do Cloud, e excluir IPs públicos reservados lá.

Abrindo Portas para Disponibilizar Serviços

Tornar o nó disponível publicamente não é suficiente para tornar um serviço como o Apache Ambari disponível na internet. Você também deve abrir a porta do serviço adicionando uma regra de entrada a uma lista de segurança. Consulte Definindo Regras de Segurança.

Usar um Bastion Host para Estabelecer Conexão com o Big Data Service

Você pode usar um bastion host para fornecer acesso à rede privada de um cluster da internet pública.

Um bastion host é uma instância de computação que serve como ponto de entrada público para acessar uma rede privada de redes externas como a internet. O tráfego deve fluir através do bastion host para acessar a rede privada, e você pode configurar mecanismos de segurança no bastion para lidar com esse tráfego. Para obter mais informações, consulte Bastion.

Usar o Oracle Cloud Infrastructure VPN site a site para estabelecer conexão com o Big Data Service

A VPN site a site fornece uma IPSec VPN site a site entre sua rede local e sua VCN (rede virtual na nuvem). O conjunto de protocolos IPSec criptografa o tráfego IP antes que os pacotes sejam transferidos da origem para o destino e decriptografa o tráfego quando ele chega.

Para obter detalhes sobre a conexão do Big Data Service com a VPN, consulte VPN Site-to-Site.

Usar o Oracle Cloud Infrastructure FastConnect para estabelecer conexão com o Big Data Service

Use o FastConnect para acessar serviços públicos no Oracle Cloud Infrastructure sem usar a Internet, por exemplo, acesso ao serviço Object Storage ou à Console e às APIs do Oracle Cloud. Sem o FastConnect, o tráfego destinado a endereços IP públicos seria roteado pela Internet. Com o FastConnect, esse tráfego passa pela sua conexão física privada.

Para obter detalhes sobre a conexão do Big Data Service com o Oracle Cloud Infrastructure FastConnect, consulte Visão Geral do FastConnect.