※ 本記事は、Lilian Quanによる”Introducing Oracle Cloud Network Path Analyzer“を翻訳したものです。

2022年6月29日

はじめに

組織は、複雑化するビジネス要件を持つパブリック・クラウドに、より多くのワークロードをデプロイしています。この変化により、クラウド・ネットワークの拡張性と複雑性が増しました。様々なビジネス・ニーズに対応するために、さらにクラウド・ネットワーク機能と接続およびセキュリティ・ポリシー制御の設計オプションを利用できるようになりました。

お客様は、これらの豊富なネットワーク機能と柔軟なオプションを取り入れる一方で、大規模で複雑なクラウド・ネットワークの管理と運用に関する新たなタイプの課題にも直面しています。私たちはこれらの課題を認識し、お客様の仕事をより簡単にするために、優れたネットワーク運用ツールを提供することを使命としています。

そのため、ネットワーク・ステータスとパフォーマンスを監視し、対話型のネットワーク・ビジュアライザでネットワーク・トポロジ、接続ステータスおよびポリシー関係をビジュアル化するための包括的なメトリックフロー可視性およびイベント・ロギングを有効にしました。Network Path Analyzerを運用ツールの最新メンバーとして紹介し、ネットワークのトラブルシューティングと構成の検証を容易にします。

Oracle Cloud Network Path Analyzerは、ハイブリッドおよびOracle Cloud Infrastructure(OCI)ネットワークにおけるエンドポイント到達可能性の問題を効率的にトラブルシューティングするための強力な新しいツールです。Oracle Cloud Network Path Analyzerは、ルーティング接続情報とポリシー構成の両方を取得し、ネットワーク・パスを視覚化します。トラブルシューティングでは、初期配備中または継続的な構成変更管理中にネットワーク構成を検証することもできます。

Network Path Analyzerとは?

Network Path Analyzerは、リアルタイム・ネットワーク構成に基づくネットワーク到達可能性分析ツールです。そのプライマリ・データ入力は、ロード・バランサのバックエンド・セットのステータスやFastConnect仮想回線の状態など、主要なネットワーク・ランタイム状態データで補強される、顧客テナンシのネットワーク・ルーティングおよびセキュリティ構成です。フードの下では、Batfishを使用して到達性分析を行い、構成エラーを特定します。Batfishは、Intentionetによって保持されるオープン・ソースのネットワーク構成分析ツールです。

ネットワーク内のエンドポイント間の通信を成功させるには、ネットワーク接続と適切なセキュリティ・ポリシーの2つの重要な要素が必要です。エンドポイント間のネットワーク接続は、相互に到達できるパスを構築します。パスに沿った適切なセキュリティ・ポリシーによって、エンドポイント間の通信が許可されます。2つの部分がすぐに配置されている場合にのみ、上位レベルのアプリケーション機能のエンドポイント間の必要な到達可能性を確立できます。

両方の次元を徹底的に分析することで、Network Path Analyzerは、クラウド・ネットワーク運用チームがクラウド・ネットワークにおけるエンドポイント到達可能性を正確かつ深く理解するために必要な次の質問に回答します。

  • 2つのエンドポイントは、ビジネスに必要なときに相互に到達できますか?
  • できないとしたら、その理由は? 何が欠けていますか?
  • 可能であれば、どのようにしますか? どのルーティング・パスで、どのセキュリティ・ポリシーを使用しますか?

複雑なネットワークでこれらの質問に対する回答を見つけることは、労力を要し、時間がかかる場合があります。これには、仮想ネットワーク・トポロジの分析、複数のルート表を慎重に実行し、様々なネットワーク・セキュリティ・グループ(NSG)またはマルチホップ・ネットワーク・パスに沿ったセキュリティ・リストを精査することが含まれます。手動で実行すると、エラーが発生しやすくなります。

Network Path Analyzerは、この複雑で痛みを伴うタスクを自動的な推論プロセスに変えます。ユーザーにとっての経験は、自動計算の式にパラメータを提供することと同じです。パラメータには、エンドポイント情報、通信プロトコル、およびソース・ポートと宛先ポートが含まれます。計算の結果は、エンドポイント到達可能性に関するルーティングおよびセキュリティ・ポリシーのインサイトです。また、Network Path Analyzerは、分析結果の表示にネットワーク・パスを視覚化します。

ほとんどのアプリケーション通信は双方向であるため、Network Path Analyzerはエンドポイントのペア間の双方向パス分析機能によって設計されています。

Network Path Analyzerは、優れたネットワークトラブルシューティングツールです。また、ネットワーク・パス上では構成および実行時状態データのみで動作するため、ネットワーク・パス上ではトラフィックは使用しないか、必要になるため、プロアクティブ構成検証用の効果的なツールでもあります。

Network Path Analyzerの利点

Network Path Analyzerを使用すると、次の利点が得られます。

  • 構成の誤りによって生じる到達可能性の問題をトラブルシューティングし、このタイプの停止の平均解決時間(MTTR)を大幅に削減します。
  • アプリケーション・トラフィックの送信を開始する前に、アクセス可能性インテントのネットワーク・ルーティングとセキュリティ・ポリシーの構成をプロアクティブに検証および検証します。
  • インテントと一致するように論理ネットワーク・パスのオンデマンド検証を実行するツール。

Network Path Analyzerを使用して、OCIネットワーク内のネットワーク・パス、またはオンプレミス・サイトまたはサードパーティのクラウド・サイトがFastConnect仮想回線またはVPNトンネルを介してOCIネットワークに接続されているハイブリッド・クラウドまたはマルチクラウド・ネットワークを分析できます。冗長パスを使用した一般的なネットワーク設計をサポートするために、ネットワークパスアナライザは、エンドポイントのペア間で最大8つの等コストマルチパス(ECMP)ネットワークパスを分析および可視化できます。

Network Path Analyzerは、すべてのOCIリージョンで無料のサービスとしてお客様に提供されます。詳細については、ドキュメントを参照してください。

Network Path Analyzerの使用方法

Network Path Analyzerは、Oracle Cloud Consoleのネットワーキングで直接使用できます。パス分析を作成して実行する必要があります。APIを使用して、パス分析をプログラムで作成、管理および実行できます。

パス分析を作成する場合は、ソース・エンドポイントと宛先エンドポイント、ネットワーク・プロトコルおよびソース・ポートと宛先ポートを指定します。エンドポイントの場合、IPアドレスまたはOCIリソースを選択できます。実行可能なOCIリソース・オプションには、VCNサブネットからのIPアドレス、コンピュート・インスタンスの仮想ネットワーク・インタフェース・カード(VNIC)、アプリケーション・ロード・バランサまたはネットワーク・ロード・バランサが含まれます。

次の例では、オンプレミスIPデバイス10.251.1.163とOCIのネットワーク・ロード・バランサ間の分析を作成します。この通信は、任意のソースポートから宛先ポート443にTCPをします。

create a path analysis

パス分析を作成したら、「分析の実行」ボタンをクリックしてパス分析を実行し、残りの部分をNetwork Path Analyzerに連結できます。テナンシ・ネットワーク構成の複雑さと規模によっては、分析を完了するのに数分かかる場合があります。結果は、ホップバイホップ・ルーティングおよびポリシー情報を使用してエンリッチされたパスのビジュアル・グラフでレンダリングされます。次の図は、パス分析の例の結果を示しています。

Path Analysis Result Example

表示されたパスの各ホップを展開すると、関連するネットワーク・コンポーネント、ルート表および接続を定義するルート・ルール、ポリシー・コントロールのNSGまたはセキュリティ・リスト・ルールなど、より詳細な情報を表示できます。次の図は、hop 4の展開されたビューを示しています。

Details per Hop in a Path Analysis result

ソース・エンドポイントと宛先エンドポイントの間に有効なエンドツーエンド・パスが存在しない場合、Network Path Analyzerは最初の欠落リンクまで部分パスを表示します。また、ルート表内のルートがないか、NSG内のセキュリティ・ポリシーがないか、セキュリティ・リストがないかについても説明します。

Network Path Analyzerでトラブルシューティングを高速化

多くのネットワークの問題は、構成の誤りによって発生します。ネットワーク構成を分析および検証する適切なツールを使用すると、トラブルシューティング・プロセス全体の効率を直接改善し、MTTRを大幅に削減できます。Network Path Analyzerは、時間のかかる構成分析プロセスを自動化し、忠実度の高い結果を伴う迅速で簡単なタスクにします。

Network Path Analyzerは、ルーティングおよびセキュリティ・ポリシーの構成を迅速に診断し、誤った構成によってアクセス可能性が破損しているかどうかを通知できます。その場合、ネットワーク・パス・アナライザは、正しくないルーティング、またはNSGまたはセキュリティ・リストに必要なセキュリティ・ルールがない構成で何が欠落しているか、間違っているかを通知します。表示される結果には、関連ネットワーク・コンポーネントの埋込みURLもあり、コンソール内の問題の場所に直接アクセスできます。コンソールで構成を直接クロスチェックできます。該当する場合は、ここで修正できます。この可用性により、ピンポイント構成の問題を解決するために、Network Path AnalyzerからConsoleにスムーズに統合されたワークフローが容易になります。

Network Path Analyzerは、次の到達可能性関連のシナリオについてトラブルシューティング・プロセスを支援できます。

  • マルチVCNアプリケーションの仮想マシン(VM)は相互に通信できません。構成されたパスをチェックする必要があります。
  • マルチティア・アプリケーションのフロントエンドWebサーバーが、アプリケーション層のロード・バランサVIPにアクセスできません。
  • ロード・バランサが一部のバックエンドに到達できません。
  • ハイブリッド・クラウド・アプリケーションのオンプレミス・エンドポイントは、OCIインスタンスにアクセスできません。
  • オンプレミス・サイトは、Oracleインスタンスによってホストされているクラウド・アプリケーションにアクセスできません。

次に、例によってNetwork Path Analyzerがトラブルシューティングを高速化する方法を確認します。

シナリオ1

クラウド・フロントエンド・インスタンスはアプリケーション層と通信できません。

このシナリオでは、マルチティア・アプリケーションのフロントエンドWebサーバー・インスタンスは、アプリケーション層のネットワーク・ロード・バランサVIPにアクセスできません。Network Path Analyzerでは、2つの層間でルーティング接続が使用可能であることがわかっていますが、ネットワーク・ロード・バランサ・サブネットのセキュリティ・リストに、Web層から宛先ポート443へのトラフィックを許可するイングレス・ポリシーがありません。

Path Analysis example 1 for a broken path

シナリオ2

オンプレミス・インスタンスはクラウド内のアプリケーション層と通信できません。

このシナリオでは、アプリケーション層は顧客のVCN内のネットワーク・ロード・バランサによってフロントされます。オンプレミス・エンドポイントとロード・バランサのフロントエンド間の双方向パス分析によって、問題がリターン・パスにあることが決まります。エンドポイントからロード・バランサへのフォワード・パスには適切なルーティング接続およびセキュリティ・ポリシーがありますが、リターン・パスの最初のホップには、オンプレミス・エンドポイントに戻るためのルートがありません。ロード・バランサ・サブネットのルート表には、オンプレミス・サブネットのルートがありません。これらのインサイトにより、この停止の調査は、数時間ではなく数分で完了します。

Path Analysis example 2 for a broken path

Network Path Analyzerによるネットワーク構成の検証

Network Path Analyzerは、ネットワーク経由で実行する実際のアプリケーション・トラフィックを必要としないため、停止が発生する前やアプリケーションがオンラインになる前でも、事前構成検証に使用できます。たとえば、ネットワーク構成が実装されたあとに、最後のセクションのパス分析を精度の高い検証テストとして実行すると、運用チームは構成のミスを捕捉し、実際の停止を防止できます。

Network Path Analyzerを使用すると、重要なアプリケーション通信用のパス分析をプロアクティブに作成し、いつでもオンデマンドで実行できます。この効果的なツールは、ミッション・クリティカルなアプリケーションおよびビジネス・ニーズに対する意図した到達可能性に対して、OCIネットワーク構成をプロアクティブに検証するのに役立ちます。

もう1つの例には、ネットワークの移行が含まれます。顧客が、オンプレミス・アプリケーションの1つをOCIに移行していました。対応するVCN、サブネット、Dynamic Routing Gateway、FastConnectおよびルーティングを使用してOCIネットワークをデプロイしました。ただし、移行されたサブネットのインスタンスへの通信は、オンプレミス・ネットワークが、移行されたサブネットの重複するルートを通知するように誤って構成されていたため、機能しませんでした。

その結果、移行されたネットワークへのトラフィックがオンプレミス・ネットワークへの間違ったパスを取っていました。Network Path Analyzerは、事前に構成を検証し、アプリケーション・ワークロードをこのサブネットに移動する前にこの誤った構成を検出するのに役立ちます。

Network Path Analyzerは、クラウド・ネットワーク操作をリアクティブからプロアクティブにシフトするのに役立ちます。構成管理ワークフローに挿入すると、初期構成デプロイメントから開始して継続的な変更管理を続行して、インテントベースのネットワーク構成検証を実行できます。

まとめ

クラウド・ネットワーク運用を単純化し、運用効率を高めることは、OCIでのビジネスの導入と運用の成功にとって非常に重要です。Network Path Analyzerは、構成の誤りをすばやく特定し、構成の問題によって生じるMTTRを削減することで、到達可能性の問題のトラブルシューティングに役立つツールです。また、お客様がアクセス可能性のインテントに対してネットワーク構成をプロアクティブに検証して、構成ミスをプロアクティブに捕捉して修正し、停止を減らすことができるように、効果的なツールでもあります。

Oracle Cloud Infrastructureでは、お客様向けに設定されたクラウド・ネットワーク運用ツールを継続的に強化し、進化しています。より高度なクラウド・ネットワーク機能を提供しながら、お客様が業務のシンプルさを維持し、業務効率を向上させることを目指しています。最新の開発にご期待ください。