Puntos de acceso de pruebas virtuales
Un punto de acceso de pruebas virtual (VTAP) proporciona una manera de reflejar el tráfico de un origen designado en un destino seleccionado para facilitar la solución de problemas, los análisis de seguridad y la supervisión de datos.
El VTAP utiliza un filtro de captura, que contiene un juego de reglas que rigen el tráfico que refleja un VTAP. Un VTAP se detiene (STOPPED
) por defecto en el momento de la creación, por lo que debe hacer clic en Iniciar VTAP antes de que refleje el tráfico según lo previsto.
Puede crear un filtro de captura mientras crea un VTAP o asignar un filtro de captura existente a un nuevo VTAP.
Orígenes y destinos de VTAP
El origen del VTAP es el recurso que supervisa el VTAP. El tráfico de este recurso se refleja y se envía a un destino seleccionado. El origen y el destino del VTAP deben estar alojados en la misma VCN. Pueden estar en diferentes compartimentos o subredes siempre que tenga los permisos necesarios para ver estos recursos y trabajar con ellos. Los orígenes de VTAP pueden ser:
- Una única VNIC de instancia informática en una subred
- Un equilibrador de carga
- Un sistema de base de datos
- Un cluster de VM de Exadata
- Una instancia de Autonomous Database para análisis y almacenamiento de datos que utilice un punto final privado
Para instancias informáticas, especifique el OCID de la VNIC asociada. Para otros tipos de origen, especifique el OCID del recurso de servicio.
El destino es el recurso que recibe el tráfico reflejado de un VTAP. Los destinos de VTAP pueden ser:
Cuando se suprime un recurso utilizado como origen o destino de un VTAP, el VTAP ya no puede funcionar y la consola pone el VTAP en estado parado. Para reiniciar el VTAP, seleccione un nuevo recurso para reemplazar el recurso que falta.
En este diagrama se muestra un ejemplo de implantación de un VTAP.
En este ejemplo, la máquina virtual de Subnet-A envía tráfico a otra máquina virtual de Subnet-B. El VTAP de Subnet-A comprueba el tráfico que sale de la máquina virtual. Dado que este tráfico coincide con el filtro de captura en uso, el VTAP refleja el tráfico en el destino (en este caso, un equilibrador de carga de red en Subnet-C). El juego de backends puede realizar a continuación el análisis adecuado en el tráfico reflejado.
Filtros y reglas de captura
Las reglas de filtro de captura seleccionan lo que se incluye en el tráfico reflejado del origen al destino. Muchos VTAP pueden utilizar el mismo filtro de captura, por lo que el cambio de las reglas de un filtro de captura afecta a todos los VTAP que lo utilizan. Un filtro de captura debe tener al menos una regla y puede tener hasta 10 reglas. Las reglas del filtro de captura se examinan en el orden de secuencia que defina. Cuando se encuentra una coincidencia, se aplica esa regla. Si no se encuentra ninguna coincidencia en una regla determinada, la siguiente regla de la secuencia se evalúa y se ejecuta si coincide. La reordenación de las reglas puede cambiar el comportamiento del filtro de captura.
Un filtro de captura puede realizar una acción (ya sea incluir o excluir un paquete) según los siguientes tipos de criterios:
- El paquete forma parte del tráfico de entrada o salida.
- El paquete se envía o procede de un prefijo IPv6 o un bloque de CIDR IPv4 de origen o destino específico
- El paquete utiliza un parámetro de protocolo IP específico (rango de puertos TCP o UDP, ICMP, ICMPv6) utilizado por el tráfico, o cualquier protocolo (utilizando el valor por defecto, Todo).
Si una regla no especifica un bloque de CIDR, un prefijo o un protocolo IP, se aceptan todas las direcciones IP o protocolos IP para esa regla.
A continuación se muestra un ejemplo práctico de cómo estructurar un juego de reglas. La intención es que se incluya todo el tráfico de 10.1.0.0/16, excepto 10.1.1.1, que se excluye:
- CIDR de origen: 10.1.1.1/32, excluir
- CIDR de origen: 10.1.0.0/16, incluir
- CIDR de origen: 10.1.1.0/24, incluir
El filtro de captura evalúa cada paquete del tráfico con respecto a las reglas en el orden de secuencia definido. Un paquete procedente de 10.1.1.1 coincide con la primera regla y se excluye del tráfico reflejado. El paquete no se compara con las otras reglas del juego. El juego de reglas funciona según lo previsto.
Si la primera regla se mueve para ser la tercera en el orden de secuencia, el juego de reglas dejará de funcionar como estaba previsto:
- CIDR de origen: 10.1.0.0/16, incluir
- CIDR de origen: 10.1.1.0/24, incluir
- CIDR de origen: 10.1.1.1/32, excluir
Dado que las reglas del filtro de captura evalúan cada paquete del tráfico en el orden de secuencia definido. Un paquete procedente de 10.1.1.1 ahora coincide con la primera regla y se incluye en el tráfico reflejado. Se omiten otras evaluaciones de reglas. En este ejemplo se utilizan bloques CIDR, pero las reglas se evalúan de la misma forma independientemente del tipo de origen que elija.
Para obtener más información, consulte Captura de filtros.
Funciones avanzadas de VTAP
Identificador de red VXLAN (VNI): introduzca un VNI para identificar de manera única el túnel de encapsulación de VXLAN. Si no especifica un VNI, se generará uno automáticamente.
Si un VTAP está activado en un origen soportado por defecto, la sobrecarga generada por el reflejo de paquetes consume ancho de banda de red. La capacidad de ancho de banda de red está determinada por la unidad subyacente de la instancia a la que está asociada una VNIC. Se implementa un VTAP en la VNIC.
Si utiliza más del 30 % del ancho de banda de red disponible soportado por el servicio y desea activar un VTAP, recomendamos actualizar la unidad de servicio subyacente.
De manera alternativa, puede especificar un tamaño máximo de paquete más pequeño al configurar un VTAP para usar una MTU de 1500 o menor a fin de obtener un mejor rendimiento y uso de ancho de banda general.
Para los paquetes reflejados truncados, los parámetros de encabezado de paquete de la carga útil, como la longitud y la suma de comprobación, no se actualizan.
Modo prioritario: el uso de esta opción da la misma prioridad al tráfico supervisado y reflejado cuando hay congestión en el origen. Por defecto, se prioriza el tráfico de producción antes que el tráfico reflejado del VTAP. Cuando activa el modo prioritario, el tráfico supervisado y el tráfico reflejado de VTAP tienen la misma prioridad. Cuando esta opción está seleccionada, el tráfico reflejado puede provocar que algún tráfico supervisado se borre cuando el origen esté congestionado. Si se detecta esta pérdida de paquete, puede desactivar el modo prioritario o actualizar las unidades de origen para admitir más ancho de banda.
Requisitos y preparación
La implantación de un VTAP requiere al menos un origen válido y un destino válido, ambos en la misma VCN. Estos recursos deben existir para poder crear un VTAP. El destino puede estar en una subred diferente a la del origen.
Dependencias
Trabajar con los VTAP requiere comprender algunas dependencias cruciales:
- Un VTAP siempre debe tener un origen, un destino y un filtro de captura asociado.
- Un filtro de captura debe tener siempre al menos una regla asociada.
- Una VNIC nunca puede ser un origen para más de un VTAP. Consulte Orígenes y destinos de VTAP para obtener más información.
Puede ver los siguientes comportamientos esperados:
- No puede crear un VTAP sin designar un origen y un destino y asociarlo a un filtro de captura existente. Puede editar qué filtro de captura está asociado al VTAP. No es posible tener un VTAP que no tenga un filtro de captura asociado.
- No se permite suprimir un filtro de captura asociado a un VTAP. Para suprimir un filtro de captura que utilizan uno o más VTAP, debe asociar un filtro de captura diferente a esos VTAP antes de suprimir el filtro de captura.
- No se permite crear un filtro de captura vacío ni editar un filtro de captura para que ya no contenga ninguna regla.
- Si se suprime un origen o un destino de VTAP, el VTAP se coloca automáticamente en el estado
STOPPED
. Para reiniciar un VTAP parado por este motivo, edite el VTAP para asignar un nuevo origen o destino válido, lo que hace que el VTAP vuelva al estadoRUNNING
.
Política de IAM necesaria
Para que pueda utilizar Oracle Cloud Infrastructure, un administrador le debe otorgar acceso de seguridad en una política . Este acceso es necesario tanto si utiliza la Consola como la API de REST con un SDK, una CLI u otra herramienta. Si obtiene un mensaje que indica que no tiene permiso o no está autorizado, verifique con el administrador el tipo de acceso que posee y en qué compartimento debería trabajar.
Para administradores: consulte Políticas de IAM para redes.
Límites sobre recursos de IAM
Para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite, consulte Límites de servicio. Para definir límites específicos de compartimentos en un recurso o familia de recursos, los administradores pueden utilizar cuotas de compartimento.Consulte Límites de VTAP para obtener una lista de límites específicos de este servicio.
Soluciones validadas de partners de Oracle
Algunos miembros de Oracle Partner Network (OPN) tienen soluciones verificadas disponibles en Oracle Marketplace que funcionan con un VTAP. Puede desplegar estas soluciones cuando utiliza un VTAP para enviar tráfico reflejado a un destino de Network Load Balancer.
Puede elegir utilizar otras soluciones con VTAP, pero estas soluciones estás validades por Oracle.
Tareas de VTAP
Puede realizar las siguientes tareas con el servicio VTAP: