甲骨文云OIC-排查网络问题：使用VTAP和Wireshark针对OCI的高效故障诊断方法

虚拟测试接入点（VTAP）适用于Oracle云基础设施（OCI），提供对您网络流量的洞察，并捕获进行深入网络分析所需的数据。OCI的VTAP使得OCI网络数据包捕获和检查能够在带外进行，有助于故障排查、安全分析和数据监控，而不会影响性能。

VTAP功能也被称为流量镜像。VTAP允许OCI网络中的各种来源的网络流量被镜像，并传送到目标监控设备。VTAP支持IPv4和IPv6流量镜像。VTAP可以从以下来源镜像流量：

• 单个计算实例
• 作为服务的应用负载均衡器（LBaaS）（第7层，代理负载均衡器）
• 作为服务的数据库（DBaaS）
• Exadata VM集群
• 使用私有端点的自治数据仓库实例 目标是接收来自VTAP镜像的流量的资源。VTAP目标可以是：
• 网络负载均衡器（第4层，非代理负载均衡器）

架构

这个参考架构展示了如何使用OCI的VTAP和Wireshark来监控您OCI基础设施中的网络流量，并实现一种成本有效的解决方案，以排查OCI租户中的网络相关问题。

下图展示了这一参考架构。

在这个参考架构中，创建了VTAP来捕获来自以下来源的流量：

• 位于公共子网中的LBaaS（第7层，代理负载均衡器）
• 负载均衡器正在指向的应用服务器的VNICs
• 位于私有子网中的Exadata集群
• 位于私有子网中的DBaaS系统
• 通过私有端点（PE）访问的自治数据库

• 每个VTAP捕获的流量都被定向到一个网络负载均衡器（第4层，非代理负载均衡器），其后端主机位于单独的私有子网中。这些主机安装了Wireshark数据包分析软件。堡垒服务允许访问后端主机。要开始数据包捕获，您可以使用堡垒服务访问Wireshark主机，并使用Wireshark命令行创建一个捕获。接下来，您必须从OCI控制台导航到您想要捕获流量详细信息的VTAP，并应用捕获过滤器。捕获过滤器允许您根据以下因素仅捕获所需的流量：

包含/排除：

• 流量方向入口出口
• IPv4 CIDR或IPv6前缀源目的地
• IP协议所有流量ICMP：ICMP类型，ICMP代码TCP：源端口范围，目的端口范围
• UDP源端口范围目的端口范围
• ICMPv6ICMPv6类型ICMPv6代码

接下来，您可以选择开始捕获。网络捕获可以直接从Wireshark主机使用命令行查看，或写入文件，或下载到安装了Wireshark UI的系统上进行进一步分析。该架构包含以下组件：

虚拟测试接入点（VTAP）

• 虚拟测试接入点（VTAP）提供了一种方法，将指定来源的流量镜像到选定目标，以便于故障排查、安全分析和数据监控。VTAP使用捕获过滤器，其中包含一组规则，决定VTAP镜像哪些流量。

Wireshark主机

• Wireshark是一款免费且开源的数据包分析器，可以捕获并分析流量。在这个参考架构中，Wireshark主机捕获网络流量，并能尽可能详细地展示捕获的数据包信息。流量可以通过命令行进行分析，或下载到安装了Wireshark UI的系统上进行图形化分析。

作为服务的负载均衡器（LBaaS）（第7层，代理负载均衡器）

• Oracle云基础设施负载均衡服务（第7层，代理负载均衡器）提供从单个入口点到后端多个服务器的自动化流量分配。

网络负载均衡器（第4层，非代理负载均衡器）

• 网络负载均衡器（第4层，非代理负载均衡器）提供从一个入口点到您的虚拟云网络中多个后端服务器的自动化流量分配。它在连接层面运作，根据第3/第4层（IP协议）数据，将进入的客户端连接负载均衡到健康的后端服务器。

堡垒服务

• Oracle云基础设施堡垒服务提供对没有公共端点的资源的受限和有时限的安全访问，这些资源需要严格的资源访问控制，如裸机和虚拟机。在这个参考架构中，堡垒服务允许安全地访问后端Wireshark主机，即使Wireshark主机没有公共端点。

地域

• Oracle云基础设施地域是一个包含一个或多个数据中心的本地地理区域，这些数据中心被称为可用性域。各个地域相互独立，它们之间可能相隔很远（跨越国家甚至大陆）。

可用性域

• 可用性域是地域内独立、自治的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离，这提供了故障容错能力。可用性域不共享基础设施，如电力或冷却系统，或内部可用性域网络。因此，一个可用性域的故障不太可能影响该地域中的其他可用性域。

故障域

• 故障域是可用性域内硬件和基础设施的分组。每个可用性域有三个故障域，拥有独立的电源和硬件。当您将资源分布在多个故障域时，您的应用程序可以承受物理服务器故障、系统维护和故障域内的电源故障。

虚拟云网络（VCN）和子网

• VCN是您在Oracle云基础设施地域中设置的可定制的、软件定义的网络。与传统数据中心网络一样，VCN让您完全控制您的网络环境。VCN可以拥有多个不重叠的CIDR块，您可以在创建VCN后更改它们。您可以将VCN划分为子网，这些子网可以覆盖一个地域或一个可用性域。每个子网包括一系列不与VCN中其他子网重叠的地址。创建后您可以更改子网的大小。子网可以是公共的或私有的。

自治数据库

• Oracle云基础设施自治数据库是完全托管、预配置的数据库环境，您可以用于事务处理和数据仓库工作负载。您无需配置或管理任何硬件，也无需安装任何软件。Oracle云基础设施负责创建数据库，以及备份、打补丁、升级和调整数据库。

Exadata数据库系统

• Exadata云服务使您能够在云中利用Exadata的强大功能。您可以配置灵活的X8M系统，根据您的需求增加数据库计算服务器和存储服务器。X8M系统提供RoCE（RDMA over Converged Ethernet）网络以实现高带宽和低延迟，持久内存（PMEM）模块，以及智能Exadata软件。您可以使用相当于X8四分之一机架系统的形状来配置X8M系统，然后在配置后的任何时候添加数据库和存储服务器。

应用服务器

• 应用服务器使用与数据库类似的次要对等体，在发生灾难时接管处理。应用服务器使用存储在数据库和文件系统中的配置和元数据。应用服务器集群在单个地域范围内提供保护，但持续的修改和新部署需要不断地复制到次要位置，以实现一致的灾难恢复。

路由表

• 虚拟路由表包含从子网到VCN外部目的地的路由规则，通常通过网关。

安全列表

• 对于每个子网，您可以创建安全规则，指定必须允许进出子网的流量的来源、目的地和类型。

推荐

以下建议可以作为起点。您的需求可能与此处描述的架构不同。

VCN

• 创建VCN时，根据您计划连接到VCN子网的资源数量，确定所需CIDR块的数量及每个块的大小。使用标准私有IP地址空间内的CIDR块。
• 选择不与任何其他网络（在Oracle云基础设施、您的本地数据中心或其他云提供商中）重叠的CIDR块，以便您打算设置私有连接。
• 创建VCN后，您可以更改、添加和移除其CIDR块。
• 在设计子网时，考虑您的流量流动和安全需求。将特定层或角色内的所有资源连接到同一个子网，这可以作为一个安全边界。

LBaaS（第7层，代理负载均衡器）带宽

• 创建负载均衡器时，您可以选择一个预定义形状，提供固定带宽，或者指定一个自定义（灵活）形状，在其中设置带宽范围，并让服务根据流量模式自动调整带宽。无论采取哪种方法，您都可以在创建负载均衡器后随时更改形状。

网络负载均衡器（第4层，非代理负载均衡器）

• 指定您想要的是私有还是公共网络负载均衡器，然后创建监听器和后端集。建议将监听器设置为UDP端口4789，这是VXLAN的端口（VTAP镜像流量被封装在VXLAN中）。这将确保网络负载均衡器监听并平衡所有镜像流量。

考虑因素

部署此参考架构时，请考虑以下选项。

• 成本如果您有OCI订阅，则创建VTAP不会产生费用。用作VTAP目标的网络负载均衡器是免费层的一部分。托管Wireshark的虚拟机也可以在免费层中。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。