Článek přečtěte do 6 min.

S potěšením oznamujeme obecnou dostupnost úžasných nových funkcí pro protokoly toků Oracle Cloud Infrastructure (OCI) ve všech komerčních oblastech. Tyto funkce nabízejí zjednodušené uživatelské prostředí, možnost granulárního filtrování a cílené povolení. Tato vylepšení najdete v konzole Oracle Cloud Console v části Networking v Network Command Center.

Snímek obrazovky rozšířené navigační nabídky v konzole Oracle Cloud Console s vybraným Netwkorking, červeně podtrženým Network Command Center a červeně zakroužkovanými filtry a protokoly toku.

Protokoly toků hrají klíčovou roli v činnostech, jako je monitorování, odstraňování problémů, analýza zabezpečení a rozvoj hlubšího porozumění chování vaší sítě. Ve vytížených sítích je k dispozici hora síťového provozu v reálném čase. Zachycování účelových dat o síťovém toku v reálném čase může být neposlušné, jako když se snažíte najít jehlu v kupce sena bez magnetu. Protokoly toků nyní nabízejí nové zjednodušené uživatelské prostředí, které zahrnuje ovládací prvky konfigurace, jako jsou filtry pro zachycení a cílené body povolení, které pomáhají zajistit, aby se cenné informace neztratily v tom ohromném nepořádku.

Již dříve jsme oznámili „ Oznámení obecné dostupnosti protokolů toků VCN pro Oracle Cloud Infrastructure “, napsané Paulem Cainkarem a „ Práce s protokoly toků “, které napsal Ajay Chhabria. Tento příspěvek zkoumá nejnovější vylepšení pro protokoly toků.

Běžné případy použití a výhody

Protokoly síťového toku se zachytávacími filtry a aktivačními body jsou základními nástroji pro monitorování a správu síťového provozu. Poskytují podrobné informace o toku datových paketů v síti, což může být cenné pro různé případy použití. Protokoly toku sítě s filtry pro zachycení a body povolení mají následující běžné případy použití:

  • Výkon sítě: Zachycování a analýza síťových toků umožňuje správcům sítě identifikovat otřesy šířky pásma, optimalizovat směrování, porozumět rozložení provozu v různých geografických oblastech, provádět plánování kapacity a odstraňovat problémy s výkonem.
  • Odstraňování problémů a ladění: Když se vyskytnou problémy se sítí, mohou protokoly toku s filtry zachycení poskytnout podrobné informace o postižených připojeních, což pomůže rychleji diagnostikovat a řešit problémy. Body povolení můžete použít ke spouštění zachycování paketů pro konkrétní toky, což umožňuje hloubkovou analýzu síťových problémů.
  • Plánování kapacity: Analýza protokolů toku sítě pomáhá organizacím předpovídat budoucí požadavky na šířku pásma a plánovat rozšíření kapacity sítě podle potřeby. Protokoly toků mohou pomoci při určování, které aplikace nebo služby spotřebovávají nejvíce zdrojů, což umožňuje efektivní přidělování zdrojů.
  • Analýzy zabezpečení sítě: Pomocí protokolů toků můžete vytvořit základní linii běžného síťového provozu a poté detekovat odchylky nebo anomálie, které mohou naznačovat narušení zabezpečení nebo neobvyklé aktivity. Analýza protokolů toku pomocí filtrů pro zachycení pomáhá identifikovat podezřelé nebo škodlivé síťové aktivity sledováním připojení ke známým škodlivým IP adresám nebo vzorcům chování.
  • Shoda s předpisy: Organizace mohou uchovávat a archivovat protokoly toku sítě pro účely shody, což jim pomáhá prokázat dodržování regulačních požadavků poskytnutím záznamu o síťové aktivitě. Použijte protokoly toku sítě ke sledování a auditu přístupu uživatelů k citlivým zdrojům, což pomáhá zajistit soulad se zásadami řízení přístupu.

Pomocí protokolů síťových toků s filtry zachycení a aktivačními body mohou organizace získat cenné poznatky o provozu, zabezpečení a výkonu své sítě.

Začínáme

Každá konfigurace protokolu toku se skládá ze dvou nových komponent: Zachycovací filtry a cílené body povolení.

Zachycovací filtr

Dříve jsme ohlásili zachytávací filtry jako součást naší služby virtuálního testovacího přístupového bodu (VTAP). Další informace o funkci VTAP a případech použití se můžete dozvědět v příspěvku „ Oznámení VTAP pro Oracle Cloud Infrastructure “, který napsal Misha Kasvin . Dnes oznamujeme použití zachytávacích filtrů s protokoly toku. Zachycovací filtr je výkonná funkce, která řídí granularitu a obsahuje sadu pravidel určujících, jak je provoz zachycován protokolem toku. Zachycovací filtr je spojen s konfigurací protokolu toku a definuje, jaký typ provozu se má zachytit.

Uvnitř zachytávacího filtru můžete vytvořit více pravidel s akcemi zahrnout nebo vyloučit, jako je směr (vstup a výstup), zdrojové a cílové CIDR, protokol (TCP, UDP a ICMP), zdrojový a cílový port. Zachycovací filtry pro protokoly toků také zahrnují vzorkovací frekvenci pro řízení objemu zachyceného provozu. Pravidla uvnitř zachycovacího filtru jsou analyzována shora dolů, jako u přístupového seznamu, aby se určilo, jaký provoz je zachycován. Protokol toku musí mít přidružený filtr pro zachycení a každý filtr pro zachycení musí mít alespoň jedno pravidlo.

Cílené body aktivace

Zachycení tokových dat ze všech prostředků v rámci podsítě nebo virtuální cloudové sítě (VCN) nemusí být nutné nebo užitečné. Například pro podsíť, která obsahuje produkční a vývojové servery, může být potřeba shromažďovat protokoly toků pouze z produkčních serverů. Nyní můžete vybrat konkrétní záchytné body, ze kterých se budou shromažďovat protokoly toků. Jsou podporovány následující body povolení:

  • Jedna nebo více existujících virtuálních sítí: Když jsou jako body povolení vybrány konkrétní virtuální sítě, shromažďují se protokoly toků ze všech podsítí a rozhraní virtuálních sítí prostředků (VNIC) v aktuální a budoucí podsíti. Tuto funkci použijte, pokud chcete zachytit toky z nejširšího zdroje informací pro vaši síť, včetně toků pro všechny síťové podsítě a všechny síťové zdroje v těchto podsítích. Viz bod aktivace VCN na následujícím obrázku.
  • Jedna nebo více existujících podsítí: Když jsou pro VCN vybrány konkrétní podsítě, shromažďují se protokoly toků ze všech VNIC, které existují v rámci současných a budoucích podsítí, včetně zdrojových VNIC, jako jsou Compute instance, load balancery a network load balancery (NLB). Tento bod použijte, pokud chcete zachytit pouze toky z určité podsítě. Viz bod povolení podsítě na následujícím obrázku.
  • Jeden nebo více existujících prostředků: Když jsou pro VCN a v rámci podsítě vybrány konkrétní prostředky, shromažďují se protokoly toků pouze z těchto VNIC prostředků, jako jsou instance Compute, nástroje pro vyrovnávání zatížení a NLB. Tuto funkci použijte, když chcete zachytit toky pouze z určité podsítě. Viz bod aktivace prostředků na následujícím obrázku.

Grafika znázorňující architekturu bodů aktivace protokolu toku

Stávající protokoly toku ve vaší síti VCN jsou automaticky migrovány v rámci konfigurací protokolů toku, aby byly v souladu s těmito novými vylepšeními. Jsou povoleny na úrovni podsítě a používají skrytou výchozí sadu filtrů pro zachycení k zachycení všech síťových toků, aby byla zajištěna zpětná kompatibilita s předchozím chováním. Následující příklad ukazuje existující protokoly toku, které byly migrovány.

Ukázkový případ použití a nastavení

Nyní, když jsme probrali základy, pojďme diskutovat o příkladu použití. Pomocí topologie máte podsíť Compute, která obsahuje produkční i vývojové instance Compute. Máte také podsíť NLB, která obsahuje frontending NLB produkční back-end Compute instance. A konečně, podsíť bezpečnostního skeneru hostí bezpečnostní skener.

Chcete zachytit pouze 25 % toků přicházejících z NLB do produkčních backendových výpočetních instancí pouze na TCP portu 8080 a vyloučit vše ostatní, jako jsou toky z bezpečnostního skeneru.

Grafika znázorňující architekturu příkladu použití.

Vytvořte filtr pro zachycení

Chcete-li spustit pracovní postup konfigurace, můžete získat přístup k protokolům toku v navigační nabídce v konzole, v části Networking and Network Command Center vyberte možnost Filtry zachycení .

Vytvořte typ filtru zachycení protokolu toku, který zachytí 25 % toků provozu s následujícími pravidly zachytávání:

  • Zahrnout zdrojový CIDR 10.10.11.59/32 (NLB) → Cílový CIDR 10.10.12.12/32 (Produkce Compute-01)
  • Zahrnout zdrojový CIDR 10.10.11.59/32 (NLB) → Cílový CIDR 10.10.12.13/32 (Produkce Compute-02)
  • Vyloučit zdrojový CIDR 10.20.10/32 (bezpečnostní skener) → Cílový CIDR libovolný

Snímek obrazovky okna Upravit filtr zachycení v konzole Oracle Cloud Console.

Povolit protokoly toků pro body povolení

Chcete-li spustit pracovní postup konfigurace, můžete získat přístup k protokolům toku v navigační nabídce v konzole, v části Networking and Network Command Center vyberte položku Protokoly toku.

Povolte protokoly toku a použijte bod povolení prostředků k povolení protokolů toku pomocí VNIC OCID nebo Instance VNIC.

Snímek obrazovky okna Přidat povolit bod se zvýrazněnou možností zdroje.

Snímek obrazovky okna Přidat bod povolení zdroje s vyplněnými poli.

Nyní můžete vidět konfigurace protokolu toku v části Network Command Center. Po konfiguraci a spuštění protokolů toků můžete přistupovat k protokolům, vyhledávat je, filtrovat a vizualizovat je z prostředí Oracle Cloud Logging Search. Pro příjem zachycených toků provozu můžete také použít streamovací nástroj třetí strany, jak je popsáno v blozích „ Oznámení obecné dostupnosti protokolů toků VCN pro Oracle Cloud Infrastructure “ a „ Práce s protokoly toků “.

Závěr

Jsme rádi, že vám můžeme přinést toto nové dynamické a flexibilní řešení pro vaše potřeby snímání. Těšíme se na informace o tom, jak tato funkce zlepšuje vaši uživatelskou zkušenost a cíle monitorování sítě, řešení problémů a analýzy zabezpečení.

Zdroj: Oracle