將鏡射網路流量封存至 OCI 物件儲存

Oracle Cloud Infrastructure Virtual Test Access Point (VTAP) 是一項網路流量鏡射服務，可擷取指定來源的網路流量複本、套用聚焦於相關資料的篩選，然後將它傳送到目標以進行分析。這提供了改善網路疑難排解、安全性監督、網路效能分析以及規範稽核的機會。

架構

此架構顯示如何使用 Oracle Cloud Infrastructure (OCI) 將鏡像流量從 VTAP 封存至 OCI Object Storage 。

基於合規性的原因，可能需要歸檔您的網路流量。此外，封存網路流量的優點在於疑難排解彈性或間歇性網路問題。您可以視需要選擇性分析過去生產流量的網路擷取。

下圖說明此參考架構。

oci-vtap-archiver.png 圖解描述

oci-vtap 存檔器 -oracle.zip

為了提供說明，簡單的 HTTP Web 伺服器位於公用子網路中，其用戶端位於第一個專用子網路中。用戶端使用 HTTP GET curl 指令從 HTTP 檔案伺服器下載檔案。本圖中將這些用戶端設定為 VTAP 來源。我們只鏡射具有 VTAP 的 HTTP 流量。OCI 網路負載平衡器會接收來自 VTAP 的鏡射流量，並在其後端伺服器節點之間進行負載平衡。這些後端節點接著會將網路擷取上傳至 OCI Object Storage 。您可以將 Web 伺服器或資料庫執行處理當作您環境中 VTAP 設定的來源。在您的實作中，其餘的設計通常會保持不變。

下列元件之間的垂直點線表示可設定額外的 VTAP 流程：從屬端 1 至從屬端 #n (作為 VTAP 來源) 以及 VTAP Sink 1 至 VTAP Sink #m (將存檔至 OCI 物件儲存的節點)。

Terraform 組態將會建立一個包含以下三個子網路的 VCN：

• 公用子網路：包含單一主機，可同時作為 HTTP 檔案伺服器與一個跳板方塊來存取兩個專用子網路中的節點。您可能需要生產環境公用子網路中的跳板方塊或堡壘主機伺服器，才能存取專用子網路中的節點，以進行疑難排解或其他維護。
• 專用子網路：主機從 HTTP 檔案伺服器下載虛擬檔案的節點，以建立 HTTP 流量。這些節點會作為 VTAP 的來源，而 VTAP 會以適當的擷取篩選鏡射其流量。我們會將這些節點稱為 VTAP 來源節點。每個「VTAP 來源」節點都有自己的個別 VTAP。
• 專用子網路：包含作為 VTAP 目標的網路負載平衡器 (NLB)。OCI Flexible Network Load Balancer 具有後端節點，可將 VTAP 流量以 pcap 檔案形式執行網路擷取，並將其歸檔至儲存桶。系統會呼叫這些節點的 VTAP Sink 節點。VTAP 接收器節點和 NLB 位於相同的專用子網路中。

VTAP 設定的擷取篩選只會擷取這些 VTAP 來源對公用子網路中的 HTTP 檔案伺服器觸發之 HTTP GET 要求的網路流量。VTAP 設定在 VTAP 來源節點的主要 VNIC 上。

您可以選擇部署的區域和區間。所有資源都會在指定的區域和區間中建立。同時也會建立用於封存 pcap 檔案的 OCI Object Storage 貯體。

架構具有下列元件：

• 地區

  Oracle Cloud Infrastructure 區域是一個本地化地理區域，其中包含一或多個稱為可用性網域的資料中心。區域獨立於其他區域，而廣大的距離可以將其分開 (跨國家或大陸)。

• 虛擬雲端網路 (VCN) 和子網路

  VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統的資料中心網路一樣，VCN 可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊，您可以在建立 VCN 之後變更。您可以將 VCN 區隔成子網路，此子網路可以設定區域範圍或可用性網域。每個子網路都是由連續的位址範圍組成，這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。

• VTAP

  「虛擬測試存取點 (VTAP)」可讓您將來自指定來源的流量鏡射至所選目標，以協助疑難排解、安全分析及資料監控。

• 網路負載平衡器 (NLB)

  OCI Flexible Network Load Balancer 提供從一個進入點到後端集中多部伺服器的自動化流量分配。網路負載平衡器會根據第 3 層 / 第 4 層 (IP 協定) 資料，將流量導向狀況良好的伺服器，以確保您的服務仍然可供使用。在這裡，我們使用 OCI 彈性網路負載平衡器將 VXLAN UDP 流量負載平衡至 VTAP Sink 節點。

• 物件儲存

  Oracle Cloud Infrastructure Object Storage 可讓您快速存取任何內容類型的大量結構化和非結構化資料，包括資料庫備份、分析資料，以及影像和影片等豐富內容。您可以安全地儲存資料，然後直接從網際網路或雲端平台內擷取資料。您可以擴展儲存體，而不會發生任何效能或服務可靠性的降低問題。針對您需要快速、立即和經常存取的「熱」儲存，使用標準儲存。針對長時間保留且極少或極少存取的「冷」儲存，使用封存儲存。

• 服務閘道

  服務閘道可讓您從 VCN 存取其他服務，例如 Oracle Cloud Infrastructure Object Storage 。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送，不會周遊網際網路。

• 網際網路閘道

  網際網路網關允許 VCN 中公共子網路與公共網際網路之間的流量。

建議

使用下列建議作為起點。 您的需求可能與此處所述的架構不同。

• VCN

  建立 VCN 時，請根據您計畫附加到 VCN 子網路的資源數量，決定所需的 CIDR 區塊數量和每個區塊的大小。請使用標準專用 IP 位址空間內的 CIDR 區塊。

  選取未與您要設定專用連線的任何其他網路重疊的 CIDR 區塊 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者)。

  建立 VCN 之後，您可以變更、新增及移除其 CIDR 區塊。

  當您設計子網路時，請考慮流量和安全需求。將特定層或角色中的所有資源附加至相同的子網路，作為安全界限。

  使用區域子網路。

• 網路負載平衡器連線限制

  OCI L3/L4 網路負載平衡器是一項免費服務，可根據流量動態自動調整規模。網路負載平衡器的預設並行連線限制為每個可用性網域 (AD) 有 330,000 個連線。在三個 AD 區域中，網路負載平衡器預設會有 100 萬個並行連線限制。

• 安全清單

  使用安全清單定義適用於整個子網路的傳入和傳出規則。

• 網路安全群組 (NSG)

  您可以使用 NSG 定義一組適用於特定 VNIC 的傳入和傳出規則。建議您使用 NSG 而非安全列表，因為 NSG 可讓您將 VCN 的子網路架構和應用程式的安全需求分開。

• 請參閱 GitHub 中的 vtap.tf 檔案，瞭解擷取篩選的詳細資訊。
• 請參閱 cloud_init/vtap_sink.yml 檔案，以取得有關如何設定 tcpdump 及解壓縮 VXLAN 封裝鏡像流量的詳細資料。

注意事項

導入此解決方案時，請考慮下列事項：

• 網際網路協定流量

  此解決方案僅針對 IPv4 流量進行開發和測試。

• 許可權

  您必須具備所選區間和區域的必要 Oracle Cloud Infrastructure Identity and Access Management 權限，才能為此部署建立所有必要的 OCI 資源。

• 可設定參數

  請參閱 variables.tf 檔案以檢視所有可設定的參數。

• VTAP 來源和規則
  • VTAP 一律必須要有來源、目標以及關聯的擷取篩選。
  • 擷取篩選條件必須一律至少有一個關聯的規則。
  • VNIC 絕對不能是多個 VTAP 的來源。

部署

從 GitHub 下載程式碼、自訂程式碼，然後進行部署。Terraform 將會設定您 OCI 租用戶內所需的所有資源。

您可以使用 OCI Resource Manager 或下載程式碼，使用一鍵部署功能從本機開發機器進行部署。

這些連結可從 GitHub 取得。

1. 移至 GitHub 。
2. 就會顯示 README 文件的「建置」段落。
3. 請依照 README 文件中的指示進行。

探索更多

深入瞭解 Oracle Cloud Infrastructure 和網路鏡像：

複查這些額外資源：

• 虛擬測試存取點 (OCI 文件)
• VTAP 來源和目標 (OCI 文件)
• VCN 流量日誌 (OCI 文件)
• Oracle Cloud Infrastructure 文件
• Oracle Cloud Infrastructure 的最佳做法架構
• Oracle Cloud 費用預估工具
• 雲端採用架構

確認

• 作者：Mayur Raleraskar