Documentação do Oracle Cloud Infrastructure

Definindo Regras de Segurança

Um administrador deve configurar regras de segurança para controlar o tráfego de rede de/para recursos do Big Data Service.

Segundo Plano

No Oracle Cloud Infrastructure, dois tipos de firewalls virtuais estão disponíveis para controlar o tráfego de/para seus recursos na nuvem. As Listas de segurança incluem regras de segurança que se aplicam a uma sub-rede inteira. Os Grupos de segurança de rede incluem regras de segurança que se aplicam a um conjunto definido de recursos organizados em grupos. Os grupos de segurança de rede permitem um controle mais refinado, e as listas de segurança são mais fáceis de configurar e manter.

As listas de segurança e os grupos de segurança de rede incluem regras de segurança. Uma regra de segurança permite um tipo específico de tráfego dentro ou fora de uma VNIC (Placa de Interface de Rede Virtual).

Observação

Uma VNIC é um componente de rede que permite que um recurso de rede, como uma instância (um nó no Big Data Service), se conecte a uma rede virtual na nuvem (VCN). A VNIC determina como a instância se conecta com pontos finais dentro e fora da VCN. Cada VNIC reside em uma sub-rede contida em uma VCN. Uma lista de segurança define um conjunto de regras de segurança que se aplicam a todas as VNICs em uma sub-rede. Um grupo de segurança de rede define um conjunto de regras de segurança que se aplicam a um grupo de VNICs que você define.

É importante entender o papel das VNICs em sua arquitetura de rede, mas para fins desta documentação, geralmente é suficiente consultar como as regras de segurança funcionam em VCNs e sub-redes.

Para obter mais informações, consulte Regras de Segurança.

Criando Regras de Segurança em Listas de Segurança

Normalmente, o Big Data Service usa listas de segurança. Isso significa que você cria regras de segurança para uma sub-rede e qualquer cluster nessa sub-rede está sujeito a essas regras. As instruções a seguir informam como criar regras de segurança em uma lista de segurança definida para a sub-rede usada pelo cluster.

Uma lista de segurança pode definir regras de entrada (para tráfego de entrada) e regras de saída (para tráfego de saída).

Cada regra de segurança especifica:
  • Direção (entrada ou saída)
  • Com monitoramento de estado ou sem monitoramento de estado
  • Tipo de origem e origem (somente regras de entrada)

Para obter uma documentação completa sobre regras de segurança, consulte Partes de uma Regra de Segurança.

As seções a seguir contêm detalhes específicos sobre a criação de regras de entrada e saída para clusters do Big Data Service.

Criando regras de entrada (e portas abertas)

Você deve abrir determinadas portas em clusters do Big Data Service para permitir o acesso a serviços como o Apache Ambari, o Hue e o JupyterHub. Configure essas portas nas regras de entrada de segurança que se aplicam a um cluster.

Para obter informações sobre como criar uma regra de entrada, consulte Regras de Segurança com o seguinte conteúdo específico para o Big Data Service:
  1. Na caixa de diálogo Adicionar Regras de Entrada, defina as seguintes opções para abrir a porta 22 para acesso SSH (se ela ainda não estiver aberta):
    • Sem monitoramento de estado: Desmarque esta caixa. Isso torna a regra com monitoramento de estado, o que significa que qualquer resposta ao tráfego de entrada é permitida de volta ao host de origem, independentemente de qualquer regra de saída aplicável à instância.
    • Tipo de Origem: Selecione CIDR.
    • CIDR de Origem: Informe 0.0.0.0/0, que indica que o tráfego de todas as origens na internet é permitido.
    • Protocolo IP: Selecione TCP.
    • Intervalo de Portas de Origem: Aceite o padrão Todos.
    • Intervalo de Portas de Destino: Informe 22, para permitir o acesso por meio do SSH.
    • Descrição: Adicionar uma descrição opcional.
  2. Na parte inferior da caixa do diálogo, selecione +Another Regra de Entrada e informe os valores de outra regra. Faça isso quantas vezes for necessário para criar todas as regras necessárias e, em seguida, selecione Adicionar Regras de Entrada.

    Para obter informações adicionais sobre intervalos de portas de destino da regra de Entrada e exemplos de regra, consulte Intervalos de Portas de Destino da Regra de Entrada

Intervalos de Portas de Destino da Regra de Entrada

Para um conjunto típico de regras de entrada para um cluster, crie regras com os Intervalos de Portas de Destino especificados:
  • SSH - porta 22
  • Apache Ambari - porta 7183
  • Hue - porta 8888
  • JupyterHub - porta 8000
  • Gerenciador de Recursos Web - porta 8090
  • Servidor de Histórico do Spark - porta 18088

Criando Regras de Saída

Ao criar um cluster, você tem a opção de usar um gateway NAT ou não. A seleção dessa opção afeta a forma como você pode controlar o tráfego de saída.

  • Se você selecionar a opção do gateway NAT ao criar um cluster, todos os nós terão acesso de saída total à internet pública. Você não pode limitar esse acesso por qualquer meio (por exemplo, restringindo a saída a apenas alguns intervalos de IP).

  • Se você selecionar para não criar um gateway NAT durante a criação de um cluster, poderá criar um gateway NAT na VCN que está usando para acessar esse cluster. Também é possível editar políticas neste gateway NAT para limitar a saída a faixas de IP especificadas.

  • Se você mapear os IPs da VM para IPs públicos, não será necessário um gateway NAT.

Para obter informações sobre como criar uma regra de saída, consulte Regras de Segurança.