Documentation Oracle Cloud Infrastructure

Points d'accès de test virtuel

Un point d'accès de test virtuel permet de mettre en miroir le trafic en provenance d'une source désignée vers une cible sélectionnée afin de faciliter le dépannage, l'analyse de la sécurité et la surveillance des données.

Le point d'accès de test virtuel utilise un filtre de capture qui contient un ensemble de règles régissant le trafic mis en miroir par ce point d'accès. Par défaut, un point d'accès de test virtuel est défini sur STOPPED lors de sa création. Vous devez donc cliquer sur Démarrer le point d'accès de test virtuel pour qu'il puisse mettre en miroir le trafic comme prévu.

Vous pouvez créer un filtre de capture pendant la création d'un point d'accès de test virtuel ou affecter un filtre de capture existant à un nouveau point d'accès de test virtuel.

Sources et cibles de point d'accès de test virtuel

La source de point d'accès de test virtuel est la ressource surveillée par le point d'accès de test virtuel. Le trafic sur cette ressource est mis en miroir et envoyé à une cible choisie. La source et la cible de point d'accès de test virtuel doivent être hébergées dans le même réseau cloud virtuel. Elles peuvent se trouver dans différents compartiments ou sous-réseaux si vous disposez des droits d'accès requis pour visualiser et utiliser ces ressources. Les sources de point d'accès de test virtuel peuvent être les suivantes :

Pour les instances de calcul, indiquez l'OCID de la carte d'interface réseau virtuelle attachée. Pour les autres types de source, indiquez l'OCID de la ressource de service.

La cible est la ressource qui reçoit du trafic mis en miroir à partir d'un point d'accès de test virtuel. Les cibles de point d'accès de test virtuel peuvent être les suivantes :

Remarque

Lorsqu'une ressource utilisée comme source ou cible d'un point d'accès de test virtuel est supprimée, il ne peut plus fonctionner et la console le met en état arrêté. Pour redémarrer le point d'accès de test virtuel, choisissez une nouvelle ressource pour remplacer la ressource manquante.

Ce schéma présente un exemple d'implémentation de point d'accès de test virtuel.

Diagramme présentant un point d'accès de test virtuel avec une source et une cible.

Dans cet exemple, la machine virtuelle de Subnet-A envoie le trafic vers une autre machine virtuelle de Subnet-B. Le point d'accès de test virtuel de Subnet-A vérifie le trafic quittant la machine virtuelle. Etant donné que ce trafic correspond au filtre de capture utilisé, le point d'accès de test virtuel met en miroir le trafic vers la cible (dans ce cas, un équilibreur de charge réseau de Subnet-C). L'ensemble de back-ends peut ensuite effectuer l'analyse appropriée sur le trafic mis en miroir.

Filtres et règles de capture

Les règles de filtre de capture permettent de sélectionner ce qui est inclus dans le trafic mis en miroir de la source à la cible. De nombreux points d'accès de test virtuel peuvent employer un même filtre de capture. La modification des règles d'un filtre de capture a une incidence sur tous les points d'accès de test virtuel qui l'utilisent. Un filtre de capture doit comporter entre une et dix règles. Les règles de filtre de capture sont examinées dans l'ordre que vous définissez. Lorsqu'une correspondance est trouvée, la règle concernée est appliquée. Si aucune correspondance n'est trouvée pour une règle donnée, la règle suivante est évaluée et exécutée en cas de correspondance. La réorganisation des règles peut modifier le comportement du filtre de capture.

Un filtre de capture peut effectuer une action (inclure ou exclure un paquet) en fonction des types de critère suivants :

  • Le paquet fait partie du trafic entrant ou sortant.
  • Le paquet part vers un bloc CIDR IPv4 ou un préfixe IPv6 source ou de destination spécifique, ou en provient.
  • Le paquet emploie un paramètre de protocole IP spécifique (plage de ports TCP ou UDP, ICMP, ICMPv6) utilisé par le trafic ou n'importe quel protocole (avec la valeur par défaut, Tout).

Si une règle n'indique ni protocole IP, ni préfixe, ni bloc CIDR, l'ensemble des protocoles ou des adresses IP sont acceptés pour cette règle.

Voici un exemple pratique de la manière dont vous pouvez structurer un ensemble de règles. L'objectif est d'inclure tout le trafic provenant de 10.1.0.0/16 sauf de 10.1.1.1, qui est exclu :

  1. CIDR source : 10.1.1.1/32, Exclure
  2. CIDR source : 10.1.0.0/16, Inclure
  3. CIDR source : 10.1.1.0/24, Inclure

Le filtre de capture évalue chaque paquet du trafic par rapport aux règles, dans l'ordre défini. Les paquets provenant de 10.1.1.1 correspondent à la première règle et sont exclus du trafic mis en miroir. Ils ne sont pas comparés aux autres règles de l'ensemble. L'ensemble de règles fonctionne comme prévu.

Si la première règle est mise en troisième position, l'ensemble de règles ne fonctionne plus comme prévu :

  1. CIDR source : 10.1.0.0/16, Inclure
  2. CIDR source : 10.1.1.0/24, Inclure
  3. CIDR source : 10.1.1.1/32, Exclure

Etant donné que le filtre de capture évalue chaque paquet du trafic par rapport aux règles dans l'ordre défini, les paquets provenant de 10.1.1.1 correspondent désormais à la première règle et sont inclus dans le trafic mis en miroir. Les autres évaluations de règle sont ignorées. Cet exemple utilise des blocs CIDR, mais les règles sont évaluées de la même manière, quel que soit le type de source choisi.

Pour plus d'informations, voir Filtres de capture.

Fonctions de point d'accès de test virtuel avancées

Identificateur réseau VXLAN (VNI) : entrez un identificateur permettant d'identifier de manière unique le tunnel d'encapsulation VXLAN. Si vous n'indiquez pas de VNI, un VNI est automatiquement généré pour vous.

Taille maximale de paquet : vous pouvez spécifier une taille maximale de paquet comprise entre 64 et 9000 octets. Pour de meilleures performances ou une assimilation efficace sur la cible, vous pouvez tronquer les paquets mis en miroir sur une longueur inférieure. Un point d'accès de test virtuel fonctionne avec une MTU de 9000 octets définie sur toutes les cartes d'interface réseau de l'instance. Cependant, en raison de la surcharge liée à l'encapsulation de point d'accès de VT (VxLAN), la MTU sur les VNIC d'instance qui sont des sources de point d'accès de VT doit prendre en compte la MTU cible moins la surcharge liée à l'encapsulation. Pour éviter toute troncature de paquets capturés par le point d'accès de test virtuel, leur MTU doit être définie sur 8950 ou inférieure pour IPv4, ou sur 8930 ou inférieure pour IPv6. Les cartes d'interface réseau de toutes les instances cible doivent être définies de manière à utiliser une MTU de 9 000 octets (valeur par défaut des images Oracle standard).
Remarque

S'il est activé sur une source prise en charge donnée, la surcharge générée par la mise en miroir des paquets consomme de la bande passante réseau. La capacité de bande passante réseau est déterminée par la forme sous-jacente de l'instance à laquelle une carte d'interface réseau virtuelle est attachée. Un point d'accès de test virtuel est implémenté sur la carte d'interface réseau virtuelle.

Si vous utilisez plus de 30 % de la bande passante réseau disponible prise en charge par le service et que vous souhaitez activer un point d'accès de test virtuel, nous vous recommandons de mettre à niveau la forme de service sous-jacente.

Vous pouvez également spécifier une taille de paquet maximale plus petite lorsque vous configurez un point d'accès de test virtuel pour utiliser une MTU inférieure ou égale à 1500 afin d'obtenir de meilleures performances globales et une meilleure utilisation de la bande passante.

Pour les paquets mis en miroir tronqués, les paramètres d'en-tête de paquet de la charge utile tels que la longueur et le checksum ne sont pas mis à jour.

Mode de priorité : l'utilisation de cette option donne la même priorité au trafic surveillé et mis en miroir en cas d'encombrement au niveau de la source. Par défaut, le trafic de production est prioritaire par rapport au trafic mis en miroir par le point d'accès de test virtuel. Lorsque vous activez le mode de priorité, le trafic surveillé et le trafic mis en miroir par le point d'accès de test virtuel ont la même priorité. Lorsque cette option est sélectionnée, le trafic mis en miroir peut entraîner la suppression d'une partie du trafic surveillé en cas d'encombrement de la source. Si une telle perte de paquets est détectée, vous pouvez désactiver le mode de priorité ou mettre à niveau les formes de source pour disposer de davantage de bande passante.

Exigences et préparation

L'implémentation d'un point d'accès de test virtuel requiert au moins une source et une cible valides, situées dans le même réseau cloud virtuel. Ces ressources doivent exister avant que vous ne créiez un point d'accès de test virtuel. La cible peut se trouver dans un sous-réseau différent de celui de la source.

Dépendances

L'utilisation des points d'accès de test virtuel nécessite de comprendre certaines dépendances cruciales :

  • Un point d'accès de test virtuel doit toujours avoir une source, une cible et un filtre de capture associé.
  • Un filtre de capture doit toujours être associé à au moins une règle.
  • Une carte d'interface réseau virtuelle ne peut jamais être la source de plusieurs points d'accès de test virtuel. Pour plus d'informations, reportez-vous à Sources et cibles de point d'accès de test virtuel.

Vous pouvez observer les comportements attendus suivants :

  • Vous ne pouvez pas créer de point d'accès de test virtuel sans désigner de source et de cible, et sans l'associer à un filtre de capture existant. Vous pouvez modifier le filtre de capture associé au point d'accès de test virtuel. Vous ne pouvez jamais avoir de point d'accès de test virtuel sans filtre de capture associé.
  • Vous ne pouvez pas supprimer un filtre de capture associé à un point d'accès de test virtuel. Pour supprimer un filtre de capture utilisé par des VTAP, vous devez d'abord leur associer un autre filtre de capture.
  • Vous n'êtes pas autorisé à créer de filtre de capture vide, ni à modifier un filtre de capture afin qu'il n'y ait plus de règles.
  • Si la source ou la cible d'un point d'accès de test virtuel est supprimée, ce dernier prend automatiquement l'état STOPPED. Afin de redémarrer un point d'accès de test virtuel arrêté pour cette raison, modifiez-le pour lui affecter une nouvelle source ou cible valide. Le point d'accès de test virtuel reprend alors l'état RUNNING.

Stratégie IAM requise

Pour utiliser Oracle Cloud Infrastructure, un administrateur doit vous accorder un accès sécurisé dans une stratégie. Cet accès est requis que vous utilisiez la console ou l'API REST avec un kit SDK, l'interface de ligne de commande ou un autre outil. Si vous obtenez un message vous indiquant que vous n'avez pas d'autorisation, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment  dans lequel vous devez travailler.

Pour les administrateurs : reportez-vous à Stratégies IAM pour Networking.

Limites relatives aux ressources IAM

Pour obtenir la liste des limites applicables et des instructions permettant de demander une augmentation de limite, reportez-vous à Limites de service. Pour définir des limites propres aux compartiments sur une ressource ou une famille de ressources, les administrateurs peuvent utiliser des quotas de compartiment.

Pour obtenir la liste des limites propres à ce service, reportez-vous à Limites de point d'accès virtuel.

Solutions partenaires Oracle validées

Certains membres d'Oracle Partner Network (OPN) proposent des solutions vérifiées disponibles sur Oracle Marketplace qui fonctionnent avec les points d'accès de test virtuel. Vous pouvez déployer ces solutions lorsque vous utilisez un point d'accès de test virtuel pour envoyer le trafic mis en miroir vers une cible Equilibreur de charge réseau.

Remarque

Vous pouvez choisir d'utiliser d'autres solutions avec les points d'accès de test virtuel, mais celles-ci sont validées par Oracle.

Tâches de point d'accès de test virtuel

Vous pouvez exécuter les tâches suivantes à l'aide du service de point d'accès de test virtuel :

Points d'accès de test virtuel

Filtres de capture