Definición de reglas de seguridad
Un administrador debe configurar reglas de seguridad para controlar el tráfico de red entrante y saliente de los recursos de Big Data Service.
En Oracle Cloud Infrastructure, hay dos tipos de firewalls virtuales disponibles para controlar el tráfico desde y hacia los recursos en la nube. Las listas de seguridad incluyen reglas de seguridad que se aplican a una subred completa. Los grupos de seguridad de red incluyen reglas de seguridad que se aplican a un juego definido de recursos que se organizan en grupos. Los grupos de seguridad de red permiten un control más detallado, mientras que las listas de seguridad son más fáciles de configurar y mantener.
Las listas de seguridad y los grupos de seguridad de red ambos incluyen reglas de seguridad. Una regla de seguridad permite que un tipo concreto de tráfico entre o salga de una tarjeta de interfaz de red virtual (VNIC).
Una VNIC es un componente de red que permite que un recurso en red, como una instancia (un nodo en Big Data Service), se conecte a una red virtual en la nube (VCN). La VNIC determina cómo se conecta la instancia con los puntos finales dentro y fuera de la VCN. Cada VNIC reside en una subred de una VCN. Una lista de seguridad define un conjunto de reglas de seguridad que se aplican a todas las VNIC de una subred. Un grupo de seguridad de red define un conjunto de reglas de seguridad que se aplican a un grupo de VNIC que usted define.
Es importante entender el papel de las VNIC en la arquitectura de red, pero, a efectos de esta documentación, por lo general resulta suficiente consultar cómo funcionan las reglas de seguridad en las VCN y las subredes.
Para obtener más información, consulte Reglas de seguridad.
Normalmente, Big Data Service utiliza listas de seguridad. Esto significa que se crean reglas de seguridad para una subred y que cualquier cluster de esa subred está sujeto a esas reglas. Las siguientes instrucciones indican cómo crear reglas de seguridad en una lista de seguridad definida para la subred que utiliza su cluster.
Una lista de seguridad puede definir tanto reglas de entrada (para tráfico entrante) como reglas de salida (para tráfico saliente).
- La dirección (entrada o salida)
- Con o sin estado
- El tipo de origen y el origen (solo las reglas de entrada)
Para obtener documentación completa sobre las reglas de seguridad, consulte Partes de una regla de seguridad.
Las siguientes secciones contienen detalles específicos sobre la creación de reglas de entrada y de salida para los clusters de Big Data Service.
Creación de reglas de entrada (y puertos abiertos)
Debe abrir determinados puertos en clusters de Big Data Service para permitir el acceso a servicios como Apache Ambari, Hue y JupyterHub. Configure estos puertos en las reglas de entrada de seguridad que se aplican a un cluster.
Rangos de puertos de destino de regla de entrada
- SSH (Puerto
22) - Apache Ambari: puerto
7183 - Hue: puerto
8888 - JupyterHub: puerto
8000 - Gestor de recursos web: puerto
8090 - Servidor de historial de Spark: puerto
18088
Las reglas de entrada son similares a las siguientes:
Creación de reglas de salida
Al crear un cluster, tiene la opción de utilizar un gateway de NAT. La elección de la opción afecta a la forma en que puede controlar el tráfico de salida.
-
Si selecciona la opción de gateway de NAT al crear un cluster, todos los nodos tienen acceso de salida total a la red pública de Internet. No puede limitar el acceso de ninguna forma (por ejemplo, restringiendo la salida solo a unos pocos intervalos IP).
-
Si decide no crear un gateway de NAT al crear un cluster, puede crear un gateway de NAT en la VCN que está utilizando para acceder al cluster. También puede editar políticas en este gateway de NAT para limitar la salida a rangos de IP especificados.
-
Si asigna las IP de VM a las IP públicas, no se necesita un gateway de NAT.
Para obtener más información sobre la creación de una regla de salida, consulte Reglas de seguridad.