Criando Recursos de Rede

Antes de criar e usar clusters do Big Data Service, você deve criar e configurar uma rede. O serviço Oracle Cloud Infrastructure Networking fornece uma ampla variedade de recursos para estabelecer uma topologia de rede segura para seu Big Data Service.

Para obter documentação completa sobre o Oracle Infrastructure Networking, consulte Visão Geral do Serviço Networking e os tópicos de rede subsequentes na documentação do Oracle Cloud Infrastructure. As seções a seguir discutem detalhes de rede específicos do Big Data Service.

Terminologia

O termo rede refere-se a uma Rede Virtual na Nuvem (VCN) ou a uma sub-rede em uma VCN. Quando a diferença é pertinente, a VCN, ou sub-rede é usada.

Instância, host e nó são usados de forma intercambiável. No entanto, como os hosts que compõem um cluster do Hadoop são chamados de nós, os nós são usados em toda esta documentação.

Noções Básicas de Rede

Na OCI, uma rede consiste em pelo menos uma Rede Virtual em Nuvem (VCN) com pelo menos uma sub-rede, juntamente com VNIC (Virtual Network Interface Cards), gateways, tabelas da rota, regras e outros recursos de rede virtual. Para um ambiente simples de desenvolvimento, talvez você precise de apenas uma VCN com uma única sub-rede em uma única região, possivelmente com acesso à internet pública. Para um ambiente complexo de produção, talvez você queira conectar sua VCN a uma rede on-premises e pode querer ligar-se a outras VCNs em outras regiões.

Uma rede usada para o Big Data Service deve atender aos requisitos gerais para qualquer rede da OCI, conforme descrito em Visão Geral da Rede e os tópicos subsequentes de rede na documentação da OCI. Além desses requisitos, considere as seguintes informações específicas do Big Data Service:

Criando e Usando Sub-redes

As sub-redes dividem uma VCN designando faixas de endereços IP que não se sobrepõem a outras sub-redes na VCN. Considere o seguinte ao criar sua rede para o Big Data Service:

Uma sub-rede deve ser regional e pode ser pública:

No OCI, uma sub-rede pode existir em um único domínio da disponibilidade ou em toda uma região. Uma sub-rede regional é necessária para Big Data Service. Portanto, ao criar a VCN para o Big Data Service, você deve criar pelo menos uma sub-rede regional nela.
Por padrão, os nós do cluster são privados. Se você planeja disponibilizar seu cluster para acesso pela internet pública, use uma sub-rede pública. Nesse caso, quando você cria a VCN, a sub-rede regional criada (veja acima) também deve ser pública. Consulte Tornando Nós Acessáveis.

Especifique qual VCN e qual sub-rede deve ser usada para um cluster ao criar o cluster. Consulte Criando um Cluster.

Tornando Nós Acessíveis

Conforme mencionado acima, os nós do cluster são privados por padrão. Os nós são criados com endereços IP privados e todas as portas são fechadas por padrão (com exceção da porta 22, que está aberta para acesso SSH). Portanto, você deve configurar a rede para permitir acesso aos nós.

Configurando Regras de Segurança para Nós

Uma regra de segurança permite um tipo específico de tráfego dentro ou fora de uma VNIC (que conecta nós à rede). Cada regra de segurança especifica direção (entrada ou saída), com monitoramento de estado ou sem monitoramento de estado, tipo de origem e origem (para regras de entrada), tipo de destino e destino (para regras de saída), protocolo IP, porta de origem, porta de destino e tipo e código ICMP.

Para permitir tráfego de rede de/para um nó de cluster, configure as regras de segurança para o nó. Faça isso para todos os nós que você deseja tornar acessíveis, seja da internet pública, de uma rede privada ou de ambos.

Consulte Definindo Regras de Segurança nesta documentação e Regras de Segurança na documentação do Oracle Cloud Infrastructure.

Tornando Nós Acessíveis pela Internet

Para tornar os nós acessíveis publicamente pela Internet, você deve:

Use uma sub-rede pública. Consulte VCNs e Sub-redes na documentação do Oracle Cloud Infrastructure.
Crie e mapeie endereços IP públicos para os endereços IP privados padrão dos nós que deseja abrir na internet. Consulte Mapear um Endereço IP Privado para um Endereço IP Público .
Configure regras de segurança para permitir o tráfego pela internet. Consulte Configurando Regras de Segurança para Nós.

Consulte também Acesso à Internet na documentação da OCI.

A Rede do Cliente e a Rede Privada do Cluster

Os clusters do Big Data Service são de hospedagem dupla. Os nós do cluster são conectados a uma rede privada do cluster na tenancy Oracle e a uma rede do cliente na tenancy.

Sobre a Rede Privada do Cluster

A rede privada do cluster é uma VCN e é criada na tenancy Oracle quando um cluster é criado. As características desta rede são:

Ao criar um cluster, é solicitado que você especifique um bloco CIDR para alocar uma faixa de endereços IP para a rede. Este bloco CIDR não pode sobrepor o bloco CIDR da rede privada do cliente.
Os endereços IP privados dos nós do cluster são designados do bloco CIDR da sub-rede privada nesta VCN.
A rede é usada exclusivamente para comunicação privada entre os nós do cluster. Por exemplo, processamento de dados distribuídos, monitoramento de serviço etc. Todas as portas estão abertas por padrão.
Você pode optar por implantar um gateway de serviço e um gateway de endereço de rede nesta rede, mas você não pode configurar gateways, tabelas de roteamento ou listas de segurança nesta rede para controlar o tráfego de rede de/para o cluster. Consulte Opções do Gateway de Rede ao Criar um Cluster, abaixo.

Sobre a Rede do Cliente

A rede do cliente está na tenancy do cliente. A VCN já deve existir (e deve ter uma sub-rede regional) para que um cluster possa ser criado. Os detalhes sobre esta rede são:

Ao criar um cluster, é solicitado que você escolha uma VCN e sub-rede existentes para associar ao cluster.
A sub-rede escolhida para o cluster deve ser uma sub-rede regional. Se quiser disponibilizar qualquer um dos nós para tráfego na internet pública, você deve escolher uma sub-rede pública. Se você estiver usando uma VPN IPSec ou o Oracle Cloud Infrastructure FastConnect para se conectar à sua rede local, poderá usar uma sub-rede privada, mas isso significa que o tráfego pela internet pública não será permitido.
Você pode configurar gateways, tabelas de roteamento e listas de segurança nesta rede para controlar o tráfego de rede de/para o cluster.
Na VCN do cliente, algumas portas estão abertas para que os componentes do Hadoop se comuniquem. Recomendamos que você criptografe a comunicação de rede entre essas portas usando algoritmos de criptografia, como o AES 256.

Opções de Gateway de Rede ao Criar um Cluster

Ao criar um cluster, você deve escolher entre estas duas opções:

Escolha Implantar um gateway de Serviço gerenciado pela Oracle e um gateway NAT (Início Rápido) para implantar um gateway de serviço e um gateway NAT na rede privada do cluster.
- Um gateway NAT permite que nós sem endereços IP públicos iniciem conexões e recebam respostas da internet, mas não recebam conexões de entrada iniciadas da internet. Consulte Gateway NAT.
- Um gateway de serviço permite que nós sem endereços IP públicos acessem serviços Oracle de forma privada, sem expor os dados a um gateway de internet ou a um gateway NAT. Consulte Gateway de Service.
Ao selecionar esta opção, você não pode limitar esse acesso de forma alguma. Por exemplo, restringindo a saída a apenas alguns intervalos de IP. Quando você escolhe esta opção:
- O gateway de serviço e o gateway NAT são usados para todas as operações descritas acima, durante a vida útil do cluster. Não é possível alterá-lo após a criação do cluster e quaisquer gateways de serviço ou gateways NAT na rede serão ignorados.
- Este gateway NAT fornece a todos os nós da rede privada do cluster acesso de saída total à Internet pública.
- Você não pode restringir ainda mais o tráfego direcionado ao gateway NAT ou ao gateway de serviço. Por exemplo, você não pode redirecionar tráfego de/para endereços IP específicos.
Escolha Usar os gateways na VCN do Cliente (Personalizável) selecionada para usar um gateway de serviço e um gateway NAT na rede do cliente.

Quando você escolhe esta opção:
- Você tem controle total sobre o roteamento do tráfego de rede de/para o cluster.
- Você mesmo deve criar e configurar os gateways. Consulte Gateway de Service.
  
  Se você criar sua rede usando um dos assistentes de criação de rede na console, alguns gateways serão criados para você, mas talvez você precise configurá-los para que atendam às suas necessidades. Consulte Início Rápido de Redes Virtuais.
- Você deve criar e configurar regras de segurança para restringir o tráfego pelos gateways.
- Você pode alterar a configuração a qualquer momento.
- Se você mapear os endereços IP privados dos nós do cluster para endereços IP públicos, não será necessário um gateway NAT. Consulte Mapear um Endereço IP Privado para um Endereço IP Público.

Documentação do Oracle Cloud Infrastructure