ネットワークの監視、監視および管理について学習

OCIネットワーク・コマンド・センター・ツールの使用

OCI Network Command Centerは、OCIのネイティブ・ネットワーク可観測性ツールをすべて1箇所にまとめて、アクセスを容易にし、ユーザー・エクスペリエンスを統合します。ネットワーク・コマンド・センターのすべてのOCIツールについて理解します。これらを活用して業務を簡素化し、問題を特定する時間を短縮する方法をご紹介します。

OCIネットワーク・コマンド・センターには、様々な操作のユースケースをサポートする次の可観測性ツールが用意されています。

ネットワーク・ビジュアライザ: 直感的なトポロジ・ビジュアライゼーションを提供して、仮想ネットワーク・リソース間の接続および関係を理解し、構成を1箇所から検査して、構成の問題を視覚的にトラブルシューティングします。
ネットワークパスアナライザ: 到達可能性の問題がある場合に、複雑な仮想ネットワーク構成をトラブルシューティングできます。トラフィックが取得するネットワーク・パスを判別し、ルーティングおよびセキュリティ構成の問題を識別し、パスに沿って構成情報を提供する自動構成分析を提供します。
リージョン間レイテンシ: OCIリージョン間のリアルタイムおよび履歴レイテンシ情報を提供します。
VCNフロー・ログ: セキュリティおよびネットワーク操作のユースケースをサポートするために重要なネットワーク・トラフィック・テレメトリを提供します。ネットワークトラフィックに関する広範なインサイトを取得し、Kafkaなどの標準プロトコルを使用して選択したツールにフロー・ログをストリーミングし、コンプライアンスの目的でフロー・ログをOCI Object Storageにアーカイブできます。
仮想テスト・アクセス・ポイント(VTAP): セキュリティ分析、アプリケーションのトラブルシューティングまたはネットワーク・パフォーマンスの問題に対して完全なパケット・キャプチャを可能にするトラフィック・ミラーリング機能を提供します。VTAPは、パケットの内容およびヘッダーを分析することによって、複雑なネットワークの問題のトラブルシューティングにも役立ちます。

Oracleでは、次のことを推奨しています。

OCIのドキュメント、および「詳細の確認」の項に記載されているビデオを確認して、Network Command Centerツールとその機能と制限について理解します。
ネットワーク・ビジュアライザ、ネットワーク・パス・アナライザ、リージョン間レイテンシおよびVCNフロー・ログは非侵入型ツールであるため、これらを試してください。
VTAPについては、ドキュメントおよびブログを参照して、VTAPの使用方法を学習し、ご使用の環境で試してみてください。

ヒント :

ネットワーク・コマンド・センターと関連ツールをOCIコンソールのホーム・ページにピン留めし、迅速かつ簡単にアクセスできます。

主要なネットワーク変更の通知の設定

OCI監査サービスは、サポートされているすべてのOCIパブリック・アプリケーション・プログラミング・インタフェース(API)エンドポイントへのコールを自動的に記録し、監査ログに記録します。これには、OCIコンソール、コマンドライン・インタフェース(CLI)、ソフトウェア開発キット(SDK)、その他のOCIサービスによるすべてのAPIコールが含まれます。その結果、OCI環境またはリソースに変更が加えられると、監査ログに表示されます。OCIイベントおよび通知サービスを利用して、クリティカルまたはキー・ネットワーク・コンポーネントに変更が加えられた場合に事前にアラートを通知できます。

次に、通知を設定する必要がある主要なOCIネットワーク・コンポーネントまたは重要なOCIネットワーク・コンポーネントの例を示します。

セキュリティ・リストまたはネットワーク・セキュリティ・グループ
Dynamic Routing Gateway(DRG)
ネットワーク・ファイアウォール
ルート・テーブル
Virtual Cloud Network (VCN)またはサブネット

イベント・サービスでは、その他のコンポーネントを使用できます。これらのリソースが作成、削除または更新された場合はいつでも通知を設定できます。

Oracleでは、次のことを推奨しています。

変更がいつ行われたかを事前に通知する重要なネットワーク・リソースと重要なネットワーク・リソースを特定します。たとえば、特定のパブリック・サブネットに適用される特定のセキュリティ・リストは重要であり、そのセキュリティ・リスト内のルールを追加、更新または削除するタイミングを知る必要があります。別の例として、本番コンパートメント内のネットワーク・コンポーネントを識別できます。
OCIのドキュメントとブログを参照して、OCI Audit、EventsおよびNotificationサービスの仕組みを理解してください。

主要なネットワーク・メトリックしきい値違反のアラームの設定

OCI Monitoringサービスは、メトリックを使用してリソースをモニターします。アラームは、これらのメトリックがアラームで指定されたトリガーを満たしたときに通知されます。 OCIで測定および収集されるこれらのメトリックのいずれかにアラームを作成できます。これらのメトリックおよびアラームをOCI通知サービスと組み合せることで、特定のメトリックでこれらのしきい値の1つが違反したときに通知を受けることができます。

受信可能な通知の例を次に示します。

FastConnectまたはサイト間仮想プライベート・ネットワーク(VPN)の状態が上から下へ進む場合
FastConnectまたはサイト間VPNトラフィックが設定されたしきい値を上回るか下回る場合
FastConnectまたはサイト間VPNのBorder Gateway Protocol (BGP)状態が上から下へ進む場合
Flexible Load Balancerバックエンド・セット内の異常なバックエンドの数が設定されたしきい値に達した場合

ヒント :

OCIコンソールに表示される任意のメトリックにアラームを作成できます。メトリック・グラフで、オプションのドロップダウン・リストをクリックし、「この問合せにアラームを作成」を選択します。

Oracleでは、次のことを推奨しています。

通知対象のキーまたはクリティカル・メトリックおよび関連するしきい値の特定
OCIモニタリングや通知などの関連するOCIサービスのOCIドキュメントを理解します。

各サブネットのVCNフロー・ログの有効化

VCNフロー・ログには、VCNをソースとする、または宛先とするトラフィック・フローの詳細が表示されます。サブネットの作成時に、VCNフロー・ログはデフォルトでは有効になりません。

すべてのサブネットでVCNフロー・ログを有効にすると、後でトラフィックの監査、VCNおよびセキュリティ・リストのトラブルシューティングに役立ちます。

Oracleでは、次のことを推奨しています。

サブネットの作成後に各サブネットのVCNフロー・ログを有効にします
VCNフロー・ログ専用の個別のログ・グループを作成することを検討してください
VCNフロー・ログは、OCIロギング・アーキテクチャおよび設計全体の1つの部分である必要があります

ヒント :

OCIロギング・ストレージには、特定のしきい値を超えるコストがあります。OCIロギングのニーズと予算を理解し、使用を制限する場合は、トラブルシューティングの目的で、必要に応じて一時的なVCNフロー・ログの有効化のみを考慮してください。