瞭解網路架構
Oracle Cloud Infrastructure 上 Enterprise Data Hub 和 CDP 資料中心部署的網路架構應包含一個 VCN 擁有三個區域子網路。這可讓您在區域的任何可用性網域中部署 Cloudera 叢集,而且與每個網路關聯的拓樸和安全清單。
注意:
部分 Oracle Cloud Infrastructure 區域包含單一可用性網域,在此情況下,無法使用區域子網路。瞭解公用網路角色
公用網路為基礎網路的次要網路,也可以直接存取網際網路,以及與網際網路關聯之每個執行處理的公用與專用 IP 位址。
公用網路是建置公用程式節點的位置,並提供額外的服務,例如需要外部存取才能與外部存取的 Cloudera Service Manager、工作歷史記錄、Hue 及其他 UI。
瞭解專用網路角色
專用網路只能有相關所有執行處理的專用 IP 位址。此網路較為安全,因為無法直接從網際網路存取其上的執行處理。此網路是主要執行處理與工作執行處理的部署位置,為其上的服務與資料提供額外的安全性。
瞭解網路存取
這些網路的存取權由安全清單控制。安全清單是可允許網際網路與子網路之間的網路連線,以及 VCN 內部的子網路互動的白名單。
VCN 中的網路流量沒有拒絕規則,因為預設行為是拒絕。流量的唯一方式是建立一個允許流量的安全清單規則,此規則是讓流量 (是否允許在 VCN 中的子網路間進行整個網路區段內部存取),或是允許特定主機IP/網路存取公用程式節點上的 Cloudera Service Manager UI。
使用 Terraform 在 Oracle Cloud Infrastructure 上對 Enterprise Data Hub 和 CDP 資料中心自動部署,會自動建立 Cloudera VCN 及相關聯的子網路。VCN 所使用的網路 CIDR 是整個類別 b 10 網路,而且會以程式設計方式將每個子網路設為唯一的類別 c 網路成員。您也可以使用 Oracle 快速啟動樣板,將現有的 VCN 建置到現有的子網路。這樣做時,請確定在建置叢集之前,先適當地列示攤派流量。
預設會啟用使用公用 IP 位址之主機的 SSH 存取,而且會透過安全清單啟用一些特定連接埠以使用全域存取。這些組態可在後續部署時自訂,建議您複查規則並調整它們,以符合您的網路安全需求。
瞭解網路拓樸
Enterprise Data Hub 或 CDP 資料中心部署的建議網路拓撲包含您所選區域中的單一 VCN。
此 VCN 應包含三個區域子網路,每個子網路各有一個用於置物、公用和專用網路。此模型可使用安全清單,以細微控制每個子網路中建置的主機。下列圖表顯示此模型中的單一可用性網域,以及子網路層次的主機關聯。
Network_topology.png 圖解描述
瞭解連線和安全性
VCN 內主機的連線是由安全清單與本機防火牆組合所控制。安全清單中必須要有主機與本機防火牆之間的連線,才能同時存在於需要連線的主機上。
安全清單規則是以一個允許使用與安全清單相關之子網路內所有主機的特定連接埠或連接埠範圍的有意義。安全清單層次沒有主機層次控制;僅在本機防火牆層次套用主機層次控制。因此,管理安全清單的方式十分重要,最受限於允許傳送給可公開地址之子網路的流量。
這是為何建議將主機層次的防火牆保留在所有部署的主機上。許多 Hadoop 廠商會建議停用本機防火牆以進行連線,但是該安全模型僅適用於非雲端建置。在主機層次連線可以使用廣義方式將內部網路加入白名單,也可以套用精細控制外部存取。這是在 iptables (EL6) 或防火牆 (EL7) 完成。有關如何利用使用這些防火牆之連線的資訊可以快速上線。