ネットワーク・パス・アナライザ

ネットワーク・パス・アナライザ・ツールについて学習します。

ネットワーク・パス・アナライザの概要

ネットワーク・パス・アナライザ(NPA)は統合された直感的な機能で、接続性に影響する仮想ネットワーク構成の問題を識別するために使用できます。NPAは、ネットワーク構成を収集および分析して、ソースと宛先間のパスの動作または障害を判別します。実際のトラフィックは送信されず、かわりに到達可能性の確認のために構成が調査および使用されます。

NPAは、ルーティングおよびセキュリティ構成を慎重に調査し、定義されたトラフィックが横断する潜在的なネットワーク・パスと、パス内の仮想ネットワーキング・エンティティに関する情報を識別します。パス情報に加えて、これらのチェックの出力には、ルーティング・ルールおよびネットワーク・アクセス・リスト(セキュリティ・リストやNSGなど)がトラフィックをどのように許可または拒否するかが含まれます。ソースと宛先は、OCI内、OCIとオンプレミス間、またはOCIとインターネット間に設定できます。NPAは、すべての標準OCIネットワーキング要素と、それらに関連付けられた構成を分析します。

NPAを使用すると、次が可能です:

  • 接続の問題を引き起こしているルーティングおよびセキュリティの構成の誤りをトラブルシューティングします
  • 論理ネットワーク・パスが目的に一致していることを検証します
  • トラフィックの送信を開始する前に、仮想ネットワーク接続設定が想定どおりに機能することを確認します

これらの目的のいずれかを達成するには、動作する必要があると思われるテストを作成し、そのテストを実行します。このテスト定義を保存して、後で再度実行することもできます。保存済テストは、選択できるように「ネットワーク・パス・アナライザ」ページに表示されます。

次のソースおよび宛先シナリオがサポートされています:

  • OCIからOCI
  • OCIからオンプレミス
  • オンプレミスからOCI
  • インターネットからOCI
  • OCIからインターネット

テストは、次のパラメータに対して定義できます:

ソース・オプション 宛先オプション プロトコル ポート情報 双方向フラグ
  • IPアドレス(OCI、オンプレミスまたはインターネット内)
  • コンピュート・インスタンスVNIC
  • LBaaS
  • NLB

  • IPアドレス(OCI、オンプレミスまたはインターネット内)
  • コンピュート・インスタンスVNIC
  • LBaaS
  • NLB

現在のセキュリティ・リストでサポートされている任意のIPプロトコル。

提供されるプロトコル・タイプに応じて:

  • 宛先ポート
  • ソース・ポート
  • ICMPオプション

TCPおよびUDPに対してデフォルトで有効になっている双方向チェック・フラグ。このフラグをオフにして、単方向接続およびパス(ソースから宛先)をチェックすることも可能です。このフラグは、TCP/UDP以外のプロトコルでは無効です。

分析は完全な構成スナップショットを使用して行われますが、結果として表示されるネットワーク・パスは、ユーザーが表示する権限を持っているエンティティに制限されます。パス内のオブジェクトを表示するために必要な権限がない場合、テスト出力にはそれらのオブジェクトやその他の詳細は表示されません。

ネットワーク・パス・アナライザは、オープン・ソースのネットワーク構成分析ライブラリであるBatfishを使用します。NPAは、Batfishを使用して到達可能性分析を実行し、構成エラーを識別します。BatfishライブラリはIntentionetが管理しています。

必要な権限

Oracleでは、ネットワーク・パス・アナライザを使用するために、常にテナンシ・レベルで次の権限ポリシーを設定することをお薦めします(これらの権限をコンパートメント・レベルで設定すると、パス分析結果の正確性が低下する可能性があります):

allow group <group-name> to manage vn-path-analyzer-test in tenancy 
allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' } 

<group-name>は、ネットワーキング・リソースの管理者グループの名前です。

ノート

このツールを使用する権限を付与すると、ネットワーク構成およびネットワーク・セキュリティ設定に関する情報がツールのユーザーに過剰に公開される可能性があります。悪意のあるユーザーは、到達可能性ステータスの監視を使用して、ネットワーク・サービスの存在と、関連するルーティングおよびセキュリティ情報を推測できます。このツールへのアクセス権は、信頼できるユーザーおよび管理者のみに付与してください。

NPA権限の詳細は、ネットワーク・モニタリング・サービスの詳細path-analyzer-testの項を参照してください。

既知の注意事項および制限事項

次のNPAユースケースはサポートされていません:

  • 同じサブネット内にあり、プライベートIPが異なるソースおよび宛先は、誤った結果を生成します。
  • サブネットのルート表にプライベートIPとして定義されたネクスト・ホップがある場合、ステータスが「ルートなし」と誤って表示されることがあります。
  • LPGがテナンシ間でピアリングされている場合、パス分析のレスポンスは「不明」です。
  • RPC接続がテナンシまたはリージョンをまたがる場合、パス分析のレスポンスは「不明」です。
  • NPAでは、IPv6はサポートされていません。IPv6アドレスは、ソースまたは宛先として使用できません。IPv6ルーティングおよびセキュリティ設定は無視され、結果には影響しません。
  • NPAはルーティング・ループを検出しないため、ルーティング・ループが存在する場合は、結果が不確定になるか、障害を示す可能性があります。
  • VCN内ルーティングおよびインターネット・ゲートウェイ・ルーティングは、NPAではまだサポートされていないため、パス分析の結果が不正確になる可能性があります。
  • 現在、パス分析をリクエストしているテナンシ内のコンパートメントの数が100を超える場合、NPAは機能しません。これらのテナントでは、NPAを使用するにはサポート・リクエストを追加する必要があります。

特別なユースケース

一部のエンティティがパス分析のパス内にあり、それらがソースでも宛先でもない場合、次の動作が表示されます。これらのユースケースには、示されているソリューションを使用できます(それが使用可能である場合)。

パス内のノード NPAの結果 ソリューション

ネットワーク仮想アプライアンス(NVA)

不明

2つのパス分析チェック(ソースからNVAに1つ、NVAから宛先に1つ)を作成します。

SNATが構成された非透過モードでデプロイされたNLB

ルートなし

2つのパス分析チェック(ソースからNLBに1つ、NLBから宛先に1つ)を作成します。

透過モードのネットワーク・ロード・バランサ

不明

2つのパス分析チェック(ソースからNLBに1つ、NLBから宛先に1つ)を作成します。

ロード・バランサ

ルートなし

2つのパス分析チェック(ソースからLBに1つ、LBから宛先に1つ)を作成します。

FWaaS

不明

2つのパス分析チェック(ソースからFWaaSに1つ、FWaaSから宛先に1つ)を作成します。

RPCを使用したクロスリージョン

不明

2つのパス分析チェック(リージョンごとに1つ)を作成します。

LPGを使用したクロステナンシ

不明

2つのパス分析チェック(テナンシごとに1つ)を作成します。

DRG v1

不明

DRG v2にアップグレードします。

次の図は、パス分析を2つに分割する必要があるユースケースの1つを示しています。

パス分析を2つに分割する必要がある状況を示す図。

ネットワーク・パス分析作業リクエスト

作業リクエストを使用すると、ネットワーク・パス分析テストなどの長時間実行される操作をモニターできます。このような操作を起動すると、サービスによって作業リクエストが生成されます。作業リクエストは、操作の進行状況の各ステップを追跡できるアクティビティ・ログです。各作業リクエストには、プログラムで対話して自動化に使用できるOCID (Oracle Cloud Identifier)があります。作業リクエストは12時間保持されます。

Network Path Analyzerのタスク