Documentação do Oracle Cloud Infrastructure

Pontos de Acesso ao Teste Virtual

Um Ponto de Acesso de Teste Virtual (VTAP) fornece uma forma de espelhar o tráfego de uma origem designada a um destino selecionado para facilitar a solução de problemas, a análise de segurança e o monitoramento de dados.

O VTAP usa um filtro de captura, que contém um conjunto de regras que controlam o tráfego que um VTAP espelha. Por padrão, um VTAP é STOPPED na criação; por isso, clique em Iniciar VTAP antes de ele espelhar o tráfego conforme pretendido.

Você pode criar um filtro de captura enquanto cria um VTAP ou designar um filtro de captura existente a um novo VTAP.

Origens e destinos do VTAP

A origem do VTAP é o recurso que ele monitora. O tráfego nesse recurso é refletido e enviado para um destino escolhido. A origem e o destino do VTAP devem ser hospedados na mesma VCN. Eles podem estar em compartimentos ou sub-redes diferentes, desde que você tenha as permissões necessárias para exibir e trabalhar com esses recursos. As origens do VTAP podem ser:

Para instâncias de computação, especifique o OCID da VNIC anexada. Para os outros tipos de origem, especifique o OCID do recurso de serviço.

​O destino é o recurso que recebe o tráfego espelhado de um VTAP. Os destinos do VTAP podem ser:

Observação

Quando um recurso usado como origem ou destino de um VTAP é excluído, ele não pode mais funcionar e a Console o coloca no estado interrompido. Para reiniciar o VTAP, escolha um novo recurso para substituir o recurso ausente.

Este diagrama mostra um exemplo de implementação de um VTAP.

Diagrama mostrando um VTAP com uma origem e um destino.

Neste exemplo, a máquina virtual em Subnet-A está enviando tráfego para outra máquina virtual em Subnet-B. O VTAP em Subset-A verifica o tráfego que sai da máquina virtual. Como esse tráfego corresponde ao filtro de captura em uso, o VTAP espelha o tráfego no destino (nesse caso, um balanceador de carga de rede em Subset-C). O conjunto de backend pode então executar a análise apropriada no tráfego espelhado.

Capturar filtros e regras

As regras de filtro de captura selecionam o que é incluído no tráfego espelhado da origem para o destino. Muitos VTAPs podem usar o mesmo filtro de captura; por isso, a alteração das regras de um filtro de captura afeta todos os VTAPs que usam esse filtro. Um filtro de captura deve ter pelo menos uma regra e pode ter até 10 regras. As regras do filtro de captura são examinadas na ordem de sequência definida. Quando uma correspondência é encontrada, essa regra é aplicada. Se nenhuma correspondência for encontrada em uma determinada regra, a próxima regra na sequência será avaliada e executada se houver correspondência. A reordenação das regras pode alterar o comportamento do filtro de captura.

Um filtro de captura pode executar uma ação (incluir ou excluir um pacote) com base nos seguintes tipos de critérios:

  • O pacote faz parte do tráfego de entrada ou saída
  • O pacote está vinculado a ou vindo de um bloco CIDR IPv4 ou de um prefixo IPv6 de determinada origem ou destino
  • O pacote usa um parâmetro de protocolo IP específico (faixa de portas TCP ou UDP, ICMP, ICMPv6) usado pelo tráfego ou quaisquer protocolos (usando o padrão, Todos)

Se uma regra não especificar um bloco CIDR, um prefixo ou um protocolo IP, todos os endereços IP ou protocolos IP serão aceitos para essa regra.

Veja um exemplo de como estruturar um conjunto de regras. A intenção é que todo o tráfego de 10.1.0.0/16 seja incluído, exceto 10.1.1.1, que é excluído:

  1. CIDR de Origem: 10.1.1.1/32, Excluir
  2. CIDR de Origem: 10.1.0.0/16, Incluir
  3. CIDR de Origem: 10.1.1.0/24, Incluir

O filtro de captura avalia cada pacote no tráfego em relação às regras na ordem de sequência definida. Um pacote de 10.1.1.1 corresponde à primeira regra e é excluído do tráfego espelhado. O pacote não é comparado com as outras regras do conjunto. O conjunto de regras funciona conforme o esperado.

Se a primeira regra for movida para o terceiro lugar na ordem de sequência, o conjunto de regras não funcionará mais como esperado:

  1. CIDR de Origem: 10.1.0.0/16, Incluir
  2. CIDR de Origem: 10.1.1.0/24, Incluir
  3. CIDR de Origem: 10.1.1.1/32, Excluir

Como as regras do filtro de captura avaliam cada pacote no tráfego na ordem de sequência definida, um pacote de 10.1.1.1 agora corresponde à primeira regra e está incluído no tráfego espelhado. Outras avaliações de regra são ignoradas. Este exemplo usa blocos CIDR, mas as regras são avaliadas da mesma maneira, independentemente do tipo de origem escolhido.

Para obter mais informações, consulte Filtros de Captura.

Recursos Avançados do VTAP

Identificador de rede VXLAN (VNI): Informe um VNI para identificar exclusivamente o túnel de encapsulamento VXLAN. Se você não especificar um VNI, será gerado um automaticamente para você.

Tamanho máximo do pacote: Você pode especificar um tamanho máximo de pacote de 64 a 9000 bytes. Para um melhor desempenho ou ingestão eficiente no destino, você pode truncar os pacotes espelhados para um tamanho menor. Um VTAP funciona com a MTU de 9000 bytes definida em todos os NICs da instância. No entanto, por causa da sobrecarga do encapsulamento do VTAP (VxLAN), a MTU nas VNICs da instância que são origens do VTAP deve considerar a MTU de destino menos a sobrecarga do encapsulamento do VTAP. Para evitar qualquer truncamento de pacote em pacotes capturados VTAP, as interfaces da instância de origem devem ter sua MTU definida como 8950 ou inferior para IPv4, ou 8930 ou inferior para IPv6. Todas as instâncias de destino devem ter suas NICs definidas para usar uma MTU de 9.000 bytes (valor predefinido nas imagens padrão da Oracle).
Observação

Se um VTAP estiver ativado em uma determinada origem suportada, a sobrecarga gerada pelo espelho de pacotes consumirá a largura de banda da rede. A capacidade da largura de banda da rede é determinada pela forma subjacente da instância à qual uma VNIC está conectada. Um VTAP é implementado na VNIC.

Se você estiver usando mais de 30% da largura de banda de rede disponível suportada pelo serviço e quiser ativar um VTAP, recomendamos fazer upgrade da forma de serviço subjacente.

Como alternativa, você pode especificar um tamanho de pacote máximo menor ao configurar um VTAP para usar uma MTU igual ou menor que 1500 a fim de obter melhor desempenho geral e utilização de largura de banda.

Para pacotes espelhados truncados, os parâmetros de cabeçalho do pacote do payload, como tamanho e soma de verificação, não são atualizados.

Modo de prioridade: O uso dessa opção dá prioridade igual ao tráfego monitorado e espelhado quando há congestionamento na origem. Por padrão, o tráfego de produção é priorizado antes do tráfego espelhado do VTAP. Quando você ativa o modo de prioridade, o tráfego monitorado e o tráfego espelhado do VTAP recebem prioridade igual. Quando essa opção é selecionada, o tráfego refletido pode causar a eliminação de parte do tráfego monitorado sempre que a origem está congestionada. Se essa perda de pacote for detectada, você poderá desativar o modo de prioridade ou fazer upgrade das formas de origem para acomodar mais largura de banda.

Requisitos e Preparação

A implementação de um VTAP exige pelo menos uma origem válida e um destino válido, ambos na mesma VCN. Esses recursos devem existir antes de você criar um VTAP. O destino pode estar em uma sub-rede diferente da origem.

Dependências

O trabalho com VTAPs exige o entendimento de algumas dependências cruciais:

  • Um VTAP deve sempre ter uma origem, um destino e um filtro de captura associado.
  • Um filtro de captura sempre deve ter pelo menos uma regra associada.
  • Uma VNIC nunca pode ser uma origem para mais de um VTAP. Consulte Origens e destinos do VTAP para obter mais detalhes.

Você poderá ver os seguintes comportamentos esperados:

  • Não é possível criar um VTAP sem designar uma origem e um destino e associá-lo a um filtro de captura existente. É possível editar qual filtro de captura está associado ao VTAP. Você nunca pode ter um VTAP que não tenha um filtro de captura associado.
  • Você está impedido de excluir um filtro de captura associado a um VTAP. Para excluir um filtro de captura que um ou mais VTAPs usam, você precisa associar outro filtro de captura a eles antes de excluir o filtro.
  • Você está impedido de criar um filtro de captura vazio ou editar um filtro de captura para não conter mais regras.
  • Se uma origem ou destino de VTAP for excluído, o VTAP será colocado automaticamente no estado STOPPED. Para reiniciar um VTAP interrompido por esse motivo, edite o VTAP para designar uma nova origem ou destino válido, o que faz com que o VTAP seja colocado novamente no estado RUNNING.

Política do IAM Necessária

Para usar o Oracle Cloud Infrastructure, você deve receber acesso de segurança em uma política  por um administrador. Esse acesso será necessário se você estiver usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta. Caso receba uma mensagem de que você não tem permissão ou de que não está autorizado, verifique com o administrador o tipo de acesso que você tem e em qual compartimento  deve trabalhar.

Para administradores: consulte Políticas do IAM para Rede.

Limites de Recursos do Serviço IAM

Para ver uma lista de limites e instruções aplicáveis para solicitar um aumento de limite, consulte Limites do Serviço. Para definir limites específicos de compartimento em um recurso ou uma família de recursos, os administradores podem usar cotas de compartimentos.

Consulte Limites do VTAP para obter uma lista de limites específicos desse serviço.

Soluções Validadas do Parceiro Oracle

Alguns membros da Oracle Partner Network (OPN) verificaram as soluções disponíveis no Oracle Marketplace que funcionam com um VTAP. Você poderá implantar essas soluções quando usar um VTAP para enviar tráfego espelhado para um destino do serviço Network Load Balancer.

Observação

Você tem a opção de usar outras soluções com o VTAP, mas essas soluções são validadas pela Oracle.