Documentação do Oracle Cloud Infrastructure

Regras de Segurança da VCN Obrigatórias

Para poder criar e montar um Armazenamento de Arquivos com sistema de arquivo Lustre, você deve configurar regras de segurança para permitir tráfego para o sistema de arquivo usando protocolos e portas específicos. Um sistema de arquivos Lustre requer conectividade entre seus hosts e conectividade com o cliente.

O Lustre usa o protocolo LNet e os drivers de rede para se comunicar em diferentes tipos de redes. Por padrão, o File Storage com Lustre usa um driver que usa a porta TCP 988 para criar conexões.

Firewalls do SO

Um cliente Lustre instalado no Oracle Linux ou Ubuntu está sujeito aos firewalls locais desses sistemas operacionais. Além das regras de segurança da VCN a seguir, verifique se OS firewalls do sistema operacional não bloqueiam o tráfego na porta TCP 988. Os clientes da Lustre usam a porta para conversar e ouvir, portanto, a porta deve estar aberta para comunicação bidirecional.

Para testar a conectividade, um firewall local pode ser temporariamente interrompido e suas regras descarregadas para evitar interferência com o cliente Lustre. Sempre siga as melhores práticas de segurança. Entre em contato com o suporte em caso de dúvidas.

Opção 1: Cliente e Lustre em diferentes sub-redes

Nesse cenário, o sistema de arquivos está em uma sub-rede diferente da do cliente. As regras de segurança devem ser configuradas para o sistema de arquivos e o cliente, ou em uma lista de segurança para cada sub-rede, ou para um NSG (Network Security Group, Grupo de Segurança de Rede) para cada recurso.

Configure as seguintes regras da segurança para o sistema de arquivos Luxe:

  • Entrada com monitoramento de estado das portas de origem CIDR de sub-rede do cliente e do Lustre 512-1023 para a porta de destino 988, protocolo TCP.
  • Saída com monitoramento de estado das portas de origem 512-1023 para a porta CIDR da sub-rede Lustre e do cliente 988, protocolo TCP.

Em seguida, configure as seguintes regras da segurança para o cliente:

  • Entrada com monitoramento de estado das portas de origem CIDR da sub-rede Lustre 512-1023 para a porta de destino 988, protocolo TCP.
  • Saída com monitoramento de estado das portas de origem 512-1023 para a porta CIDR da sub-rede Lustre 988, protocolo TCP.

Opção 2: Cliente e Lustre na mesma sub-rede

Nesse cenário, o sistema de arquivos está na mesma sub-rede que o cliente. As regras de segurança devem ser configuradas em uma lista de segurança para cada sub-rede ou em um NSG (grupo de segurança da rede) para cada recurso.

  • Entrada com monitoramento de estado das portas de origem CIDR da sub-rede 512-1023 para a porta de destino 988, protocolo TCP.
  • Saída com monitoramento de estado das portas de origem 512-1023 para a porta CIDR da sub-rede 988, protocolo TCP.

Maneiras de Ativar Regras de Segurança da VCN

O serviço de Rede oferece dois recursos do firewall virtual que usam regras de segurança para controlar o tráfego no nível de pacote. Estas são as duas funcionalidades:

  • NSGs (Grupos de Segurança de Rede) (recomendado): Um recurso projetado para componentes de aplicativo que têm diferentes posturas de segurança. Crie um NSG que contenha as regras necessárias e depois adicione o sistema de arquivos ao NSG. Como alternativa, você pode adicionar as regras necessárias a um NSG existente anteriormente e adicionar o sistema de arquivos ao NSG. Cada sistema de arquivos pode pertencer a até 5 (cinco) NSGs.
  • Listas de segurança: A funcionalidade de firewall virtual original do serviço Networking. Quando você cria uma VCN, uma lista de segurança padrão também é criada. Adicione as regras necessárias à lista de segurança da sub-rede que contém o sistema de arquivos.
Importante

Você pode usar NSGs sozinhos, listas de segurança sozinhos ou ambos juntos. Depende de suas necessidades específicas de segurança. Se você usar tanto as listas da segurança quanto os grupos da segurança da rede, o conjunto de regras que se aplica a uma determinada VNIC será a combinação destes itens:

  • As regras de segurança nas listas de segurança associadas à sub-rede da VNIC
  • As regras de segurança em todos os NSGs em que a VNIC está

Não importa qual método você usa para aplicar regras da segurança à VNIC do sistema de arquivos, desde que as portas dos protocolos necessários para o Serviço File Storage com o Lustre estejam configuradas corretamente nas regras aplicadas.

Consulte Regras de Segurança, Listas de Segurança e Grupos de Rede de Segurança para obter mais informações, exemplos e cenários sobre como esses recursos interagem na sua rede. Visão Geral do Serviço Networking fornece informações gerais sobre a rede.