針對 OCI 和 Wireshark 的 VTAP 疑難排解網路問題
Oracle Cloud Infrastructure (OCI) 的虛擬測試存取點 (VTAP) 可針對您的網路流量提供洞察分析,並擷取深入網路分析所需的資料。OCI 的 VTAP 可讓 OCI 網路封包擷取和檢查失頻,協助疑難排解、安全性分析及資料監控,而不會影響效能。
- 單一運算執行處理
- 應用程式負載平衡器即服務 (LBaaS) (第 7 層,代理主機負載平衡器)
- 資料庫即服務 (DBaaS)
- Exadata VM 叢集
- 使用專用端點的 Autonomous Data Warehouse 執行處理
目標是接收從 VTAP 鏡射之流量的資源。VTAP 目標可以是:
- 網路負載平衡器 (第 4 層,非代理主機負載平衡器)
架構
此參照架構顯示 OCI 和 Wireshark 的 VTAP 如何用來監督 OCI 基礎架構中各個點的網路流量,並導入符合成本效益的解決方案,以疑難排解 OCI 租用戶中的網路相關問題。
下圖說明此參考架構。
oci-vtap-network-wireshark-arch-oracle.zip
- 公用子網路中的 LBaaS (第 7 層,代理主機負載平衡器)
- 負載平衡器正在將流量導向至應用程式伺服器的 VNIC
- 專用子網路中的 Exadata 叢集
- 專用子網路中的 DBaaS 系統
- 透過專用端點存取的自治式資料庫 (PE)
接下來,您必須使用擷取流量詳細資訊的來源,從 OCI 主控台瀏覽至 VTAP,然後套用擷取篩選。擷取篩選可讓您只根據下列因素擷取必要的流量:
- 交通方向
- 傳入
- 傳出
- IPv4 CIDR 或 IPv6 前置碼
- 來源
- 目的地
- IP 協定
- 所有流量
- ICMP:ICMP 類型、ICMP 代碼
- TCP:來源連接埠範圍,目的地連接埠範圍
- 天津
- 來源連接埠範圍
- 目的地連接埠範圍
- ICMPv6
- ICMPv6 類型
- ICMPv6 程式碼
架構具有下列元件:
- 虛擬測試存取點 (VTAP)
虛擬測試存取點 (VTAP) 提供一個方式,將流量從指定的來源鏡射到選取的目標,以協助疑難排解、安全性分析以及資料監督。VTAP 使用擷取篩選,其中包含一組管理 VTAP 鏡像流量的 rules。
- Wireshark 主機
Wireshark 是一個自由且開放原始碼的封包分析程式,可擷取和分析流量。在此參考架構中,Wireshark 主機會擷取網路流量,且可儘可能將擷取的封包資料呈現為更詳細的資料。可以從命令行分析流量,或使用 Wireshark UI 將流量下載至系統以進行圖形分析。
- 負載平衡器即服務 (LBaaS) (第 7 層,代理主機負載平衡器)
Oracle Cloud Infrastructure Load Balancing 服務 (第 7 層的代理主機負載平衡器) 提供自動化流量分配,從後端單一進入點到多部伺服器。
- 網路負載平衡器 (第 4 層,非代理主機負載平衡器)
網路負載平衡器 (第 4 層,非代理主機負載平衡器) 提供從一個進入點到虛擬雲端網路中多個後端伺服器的自動化流量分配功能。它會在連線層次運作,並根據 Layer3/Layer4 (IP 協定) 資料,將內送從屬端連線負載平衡至狀況良好的後端伺服器。
- 堡壘主機服務
Oracle Cloud Infrastructure 堡壘主機服務可為沒有公用端點的資源提供有限且時間限制的安全存取,並且需要嚴格的資源存取控制,例如裸機和虛擬機器。在此參考架構中,Bastion 服務即使 Wireshark 主機沒有公用端點,也可讓您安全地存取後端 Wireshark 主機。
- 區域
Oracle Cloud Infrastructure 區域是一個包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且遠距離也能分隔它們 (跨國家或甚至大陸)。
- 可用性網域
可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎架構,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。
- 容錯域
容錯網域是可用性網域內的硬體和基礎架構群組。每個可用性網域都具備三個具有獨立電源和硬體的容錯域。當您分散多個容錯域的資源時,您的應用系統可以忍受容錯域內的實體伺服器故障、系統維護及電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可客製化的軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您完整控制您的網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 區段成子網路,可以將範圍擴展到區域或可用性網域。每個子網路都包含一個連續的位址範圍,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 自治式資料庫
Oracle Cloud Infrastructure 自治式資料庫完全受到管理,可用來進行交易處理和資料倉儲工作負載預先設定的資料庫環境。您不需要設定或管理任何硬體,或安裝任何軟體。Oracle Cloud Infrastructure 可處理建立資料庫,以及備份、打補丁、升級和調整資料庫。
- Exadata 資料庫系統
Exadata Cloud Service 可讓您在雲端充分運用 Exadata 的強大功能。您可以佈建彈性的 X8M 系統,隨著需求成長,將資料庫運算伺服器和儲存體伺服器加入您的系統。X8M 系統提供 RoCE (RDMA over Converged Ethernet) 網路以進行高頻寬和低延遲、永久記憶體 (PMEM) 模組和智慧型 Exadata 軟體。您可以使用等同於四分之一機架 X8 系統的資源配置來佈建 X8M 系統,然後在佈建之後隨時新增資料庫和儲存體伺服器。
- 應用程式伺服器
應用程式伺服器使用次要對等體,就像資料庫一樣,在發生災害時都會進行處理。應用程式伺服器會使用同時儲存在資料庫和檔案系統中的組態和描述資料。應用程式伺服器叢集可在單一區域的範圍內提供保護,但持續修改與新的部署必須持續複製到次要位置,才能進行一致的災害復原。
- 路由表格
虛擬路由表包含規則,用於將流量從子網路遞送至 VCN 以外的目的地 (通常是透過閘道)。
- 安全清單
針對每個子網路,您可以建立指定來源、目的地以及必須允許進出子網路之流量類型的安全規則。
建議
- VCN
建立 VCN 時,請根據計畫要在 VCN 中連附至子網路的資源數目,決定所需的 CIDR 區塊數目與每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與任何其他網路重疊的 CIDR 區塊 (在 Oracle Cloud Infrastructure 中、企業內部部署資料中心或其他雲端提供者),以設定專用連線。
建立 VCN 之後,您可以變更、新增以及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色中的所有資源連附至相同的子網路,作為安全界限。
- LBaaS (第 7 層,代理主機負載平衡器) 頻寬
建立負載平衡器時,您可以選取預先定義的資源配置以提供固定頻寬,或指定自訂 (彈性) 資源配置供您設定頻寬範圍,並讓服務根據流量模式自動調整頻寬。有了其中一種方法,您便可以在建立負載平衡器之後,隨時變更資源配置。
- 網路負載平衡器 (第 4 層,非代理主機負載平衡器)
指定您要使用專用或公用網路負載平衡器,然後建立監聽器和後端集。建議設定 UDP 連接埠 4789 的監聽器,這是 VXLAN 的連接埠 (VTAP 鏡像流量會封裝在 VXLAN 中)。這將確保網路負載平衡器監聽和負載平衡所有鏡像流量。
注意事項
建置此參照架構時,請考慮下列選項。
- 成本
如果您有 OCI 訂閱,建立 VTAP 將不會有任何費用。作為 VTAP 目標的網路負載平衡器是免費層的一部分。Wireshark 的代管 VM 也可以是免費層。