1. ミラー化されたネットワーク・トラフィックをOCI Object Storageにアーカイブ
  2. ミラー化されたネットワーク・トラフィックのOCIオブジェクト・ストレージへのアーカイブ

ミラー化されたネットワーク・トラフィックのOCIオブジェクト・ストレージへのアーカイブ

Oracle Cloud Infrastructure Virtual Test Access Point (VTAP)は、ネットワーク・トラフィック・ミラーリング・サービスで、指定したソースからネットワーク・トラフィックのコピーを取得し、フィルタを適用して関連データにフォーカスし、それをターゲットに送信して分析します。これにより、ネットワークのトラブルシューティング、セキュリティ監視、ネットワーク・パフォーマンス分析およびコンプライアンス監査を改善できます。

アーキテクチャ

このアーキテクチャでは、Oracle Cloud Infrastructure (OCI)を使用して、VTAPからOCI Object Storageにミラー化されたトラフィックをアーカイブする方法を示します。

コンプライアンス上の理由から、ネットワーク・トラフィックのアーカイブが必要になる場合があります。また、ネットワークトラフィックのアーカイブには、ネットワークの問題や断続的な問題をトラブルシューティングする際に利点があります。必要に応じて、過去の本番トラフィックのネットワーク取得を選択的に分析できます。

次の図は、このリファレンス・アーキテクチャを示しています。

oci-vtap-archiver.pngの説明が続きます
図oci-vtap-archiver.pngの説明

oci-vtap-archiver-oracle.zip

説明上、単純なHTTP Webサーバーは、最初のプライベート・サブネットにクライアントがあるパブリック・サブネット内にあります。クライアントはHTTP GET curlコマンドを使用して、HTTPファイル・サーバーからファイルをダウンロードします。この図では、これらのクライアントはVTAPソースとして設定されています。HTTPトラフィックのみをVTAPでミラー化します。OCIネットワーク・ロード・バランサは、ミラー化されたトラフィックをVTAPから受信し、バックエンド・サーバー・ノード間でロード・バランシングします。これらのバックエンド・ノードは、ネットワーク取得をOCI Object Storageにアップロードします。Webサーバーまたはデータベース・インスタンスを、ご使用の環境でVTAP設定のソースとして設定できます。残りの設計は、通常、実装では同じままです。

次のコンポーネント間の垂直方向の点線は、追加のVTAPフローが構成可能であることを示しています。クライアント1からクライアント#n、VTAPソースとして機能するノード、およびVTAPシンク1からVTAPシンク#m、OCIオブジェクト・ストレージへのアーカイブを実行するノード。

Terraform構成では、次の3つのサブネットを持つVCNが作成されます:
  • パブリック・サブネット: 2つのプライベート・サブネット内のノードにアクセスするためのHTTPファイル・サーバーとジャンプボックスの両方として機能する単一のホストが含まれます。トラブルシューティングやその他のメンテナンス目的でプライベート・サブネットのノードにアクセスするには、本番環境のパブリック・サブネットにjumpboxまたはbastionサーバーが必要になる場合があります。
  • プライベート・サブネット: HTTPファイル・サーバーからダミー・ファイルをダウンロードしてHTTPトラフィックを作成するノードをホストします。これらのノードはVTAPのソースとして機能し、そのトラフィックはVTAPによって適切な取得フィルタでミラー化されます。これらのノードをVTAPソース・ノードと呼びます。各VTAPソース・ノードには、独自のVTAPがあります。
  • プライベート・サブネット: VTAPのターゲットとして機能するネットワーク・ロード・バランサ(NLB)が含まれます。OCI Flexible Network Load Balancerには、VTAPトラフィックのネットワーク・キャプチャをpcapファイルとして実行し、バケットにアーカイブするバックエンド・ノードがあります。これらのノードをVTAPシンク・ノードと呼びます。VTAPシンク・ノードとNLBは同じプライベート・サブネットに存在します。

VTAPは取得フィルタを使用して構成され、これらのVTAPソースによって起動されたHTTP GETリクエストのネットワーク・トラフィックのみをパブリック・サブネットのHTTPファイル・サーバーに取得します。VTAPは、VTAPソース・ノードのプライマリVNICに設定されます。

デプロイメントのリージョンおよびコンパートメントを選択できます。すべてのリソースが、指定されたリージョンおよびコンパートメントに作成されます。pcapファイルをアーカイブするOCIオブジェクト・ストレージ・バケットも作成されます。

このアーキテクチャには、次のコンポーネントがあります。

  • リージョン

    Oracle Cloud Infrastructureリージョンとは、可用性ドメインと呼ばれる1つ以上のデータ・センターを含む、ローカライズされた地理的領域です。リージョンは他のリージョンから独立し、長距離の場合は(複数の国または大陸にまたがって)分離できます。

  • 仮想クラウド・ネットワーク(VCN)およびサブネット

    VCNは、Oracle Cloud Infrastructureリージョンで設定する、カスタマイズ可能なソフトウェア定義のネットワークです。従来のデータ・センター・ネットワークと同様に、VCNを使用するとネットワーク環境を制御できます。VCNには重複しない複数のCIDRブロックを含めることができ、VCNの作成後にそれらを変更できます。VCNをサブネットにセグメント化して、そのスコープをリージョンまたは可用性ドメインに設定できます。各サブネットは、VCN内の他のサブネットと重複しない連続した範囲のアドレスで構成されます。サブネットのサイズは、作成後に変更できます。サブネットはパブリックにもプライベートにもできます。

  • VTAP

    仮想テスト・アクセス・ポイント(VTAP)は、指定されたソースから選択したターゲットへのトラフィックをミラー化して、トラブルシューティング、セキュリティ分析およびデータ・モニタリングを促進する方法を提供します。

  • ネットワーク・ロード・バランサ(NLB)

    OCI Flexible Network Load Balancerは、1つのエントリ・ポイントからバックエンド・セット内の複数のサーバーへの自動化されたトラフィック分散を提供します。ネットワーク・ロード・バランサは、レイヤー3/レイヤー4 (IPプロトコル)データに基づいて正常なサーバーにのみトラフィックを転送することで、サービスの継続的な可用性を保証します。ここでは、OCI Flexible Network Load Balancerを使用して、VTAPシンク・ノードへのVXLAN UDPトラフィックのロード・バランシングを行います。

  • オブジェクト・ストレージ

    Oracle Cloud Infrastructure Object Storageでは、データベースのバックアップ、分析データ、イメージやビデオなどのリッチ・コンテンツなど、あらゆるコンテンツ・タイプの構造化データおよび非構造化データにすばやくアクセスできます。インターネットから直接またはクラウド・プラットフォーム内から、安全かつセキュアにデータを格納し、取得できます。パフォーマンスやサービスの信頼性を低下させることなく、ストレージを拡張できます。迅速、即時、頻繁にアクセスする必要があるホット・ストレージには、標準ストレージを使用します。長期間保持し、ほとんどまたはほとんどアクセスしないコールド・ストレージには、アーカイブ・ストレージを使用します。

  • サービス・ゲートウェイ

    サービス・ゲートウェイは、VCNからOracle Cloud Infrastructure Object Storageなどの他のサービスへのアクセスを提供します。The traffic from the VCN to the Oracle service travels over the Oracle network fabric and does not traverse the internet.

  • インターネット・ゲートウェイ

    インターネット・ゲートウェイは、VCN内のパブリック・サブネットとパブリック・インターネット間のトラフィックを許可します。

レコメンデーション

次の推奨事項を開始点として使用します。 お客様の要件は、ここで説明するアーキテクチャとは異なる場合があります。
  • VCN

    VCNを作成するときには、必要なCIDRブロックの数を決定し、VCN内のサブネットにアタッチする予定のリソースの数に基づいて各ブロックのサイズを決定します。標準のプライベートIPアドレス領域内にあるCIDRブロックを使用します。

    プライベート接続を設定する他のネットワーク(Oracle Cloud Infrastructure、オンプレミス・データ・センターまたは別のクラウド・プロバイダ)と重複しないCIDRブロックを選択します。

    VCNを作成した後、そのCIDRブロックを変更、追加および削除できます。

    サブネットを設計するときには、トラフィック・フローおよびセキュリティ要件を考慮してください。特定の層またはロール内のすべてのリソースを、セキュリティ境界として機能できる同じサブネットにアタッチします。

    リージョナル・サブネットを使用します。

  • ネットワーク・ロード・バランサ接続の制限

    OCI L3/L4 Network Load Balancerは無料のサービスで、トラフィックに基づいて動的に自動スケーリングされます。ネットワーク・ロード・バランサの同時接続数のデフォルト制限は、1つの可用性ドメイン(AD)当たり330,000接続です。3つのADリージョンでは、ネットワーク・ロード・バランサの同時接続数の制限はデフォルトで100万になります。

  • セキュリティ・リスト

    セキュリティ・リストを使用して、サブネット全体に適用されるイングレスおよびエグレス・ルールを定義します。

  • ネットワーク・セキュリティ・グループ(NSG)

    NSGを使用して、特定のVNICに適用されるイングレスおよびエグレス・ルールのセットを定義できます。NSGでは、VCNのサブネット・アーキテクチャをアプリケーションのセキュリティ要件から分離できるため、セキュリティ・リストではなくNSGを使用することをお薦めします。

  • 取得フィルタの詳細は、GitHubのvtap.tfファイルを参照してください。
  • tcpdumpの構成方法およびVXLANカプセル化ミラー化トラフィックのカプセル化解除方法の詳細は、cloud_init/vtap_sink.ymlファイルを参照してください。

考慮事項

このソリューションを実装する場合は、次の点を考慮してください。

  • インターネットプロトコルトラフィック

    このソリューションは、IPv4トラフィックに対してのみ開発およびテストされます。

  • 権限

    このデプロイメントに必要なすべてのOCIリソースを作成するには、選択したコンパートメントおよびリージョンに必要なOracle Cloud Infrastructure Identity and Access Management権限が必要です。

  • 構成可能なパラメータ

    すべての構成可能なパラメータを表示するには、variables.tfファイルを参照してください。

  • VTAPソースおよびルール
    • VTAPには、常にソース、ターゲットおよび関連付けられた取得フィルタが必要です。
    • 取得フィルタには、常に1つ以上のルールが関連付けられている必要があります。
    • VNICを複数のVTAPのソースにすることはできません。

デプロイ

GitHubからコードをダウンロードし、コードをカスタマイズしてデプロイします。Terraformは、OCIテナンシ内で必要なすべてのリソースを設定します。

OCI Resource Managerを使用してワンクリック・デプロイメントを使用するか、コードをダウンロードしてローカル開発マシンからデプロイできます。

リンクは、GitHubにあります。

  1. GitHubに移動します。
  2. READMEドキュメントの「デプロイ」セクションが表示されます。
  3. READMEドキュメントの手順に従います。

詳細の参照

Oracle Cloud Infrastructureおよびネットワーク・ミラーリングについてさらに学習:

次の追加リソースを確認します。

確認

  • 作成者: Mayur Raleraskar