※ 本記事は、Atefeh (Ati) Yousefi-Attaeiによる”OCI Network Path Analyzer“を翻訳したものです。

2023年9月14日

 

概要

現在、お客様は、トラブルシューティングの課題が発生する可能性がある複雑な仮想ネットワーク・トポロジをデプロイしています。

このブログでは、OCI Network Path Analyzer、オンデマンドのトラブルシューティング、および診断ツールについて説明します。

Network Path Analyzer (NPA)は、接続に影響する仮想ネットワーク構成の問題を特定するのに役立ちます。NPAは、自動化された構成分析を使用して、ホップツーホップ・パスを分析して接続の問題を特定することで、ルーティングおよびセキュリティ・ルールを調査します。

一部のNPAユースケースでは、NPAを使用すると、ルーティングとセキュリティーの不適切な構成のトラブルシューティング、論理ネットワークパスの検証、および仮想ネットワーク接続設定が期待どおりに機能することを検証できます。

NPAテストでは、次のシナリオがサポートされます。:

  • OCIからOCI
  • OCIからオンプレミス
  • オンプレミスからOCIへ
  • インターネットからOCI
  • OCIからインターネット

テスト固有のパラメータおよびNPAの制限の詳細は、次のリンクを確認してください。

Network Path Analyzer

 

Network Path Analyzerの構成

次に、NPAでサポートされているいくつかのシナリオをテストします。Ashburnリージョン内にOCI Load Balancerを作成し、1つのVMをバックエンド・セットにアタッチしました。

自分のLBステータスはクリティカルと表示され、可能な問題を確認するためにNPAテストを実行します。

ノート: NPAテストを実行する前に、必要なポリシーを構成してください。次のリンクを確認してください。

NPA-Permissions

LB-Critical

ハンバーガ・メニューにナビゲートし、「Networking」をクリックし、「Network Command Center」で「Network Path Analyzer」をクリックします。

パス分析を作成します。必要なリンクを入力し、「Run Analysis」をクリックします(ソースIPはVMバックエンド・サーバー、宛先IPはLBプライベートIPです)。(パス情報のロードには最大1分かかる場合があります)。

NPA1

NPATest1

NPATest2

上の結果は、NPAテストのステータスに到達できないことを示しています。セキュリティ・ステータスは「Denied」と表示されます。

NPA-Denied1

ダイアグラム情報の表示をクリックし、セキュリティ拒否エラー・メッセージを確認します。

ご覧のとおり、このリクエストに一致するセキュリティ・ルールが見つからないため、イングレス・アクセス制御のステータスは「Denied」です。「Security List-Blog-VCN」をクリックし、LB-Subnetにアタッチされているセキュリティ・リストを確認します。

UDP1

前述のとおり、デフォルト・ルート 0.0.0.0/0に対してUDPプロトコルを許可します。

ただし、TCPポート80 (ポート80用に構成されたLoad Balancerリスナー・ポート)のテストを実行しました。ルールを編集し、TCPポート80に変更して、テストを再実行します。

TCPport

表示されたとおり、結果ステータスは「reachable」に変更され、セキュリティ・ステータスは今回許可するように変更されました。

Test1Success

次のステップでは、LB Health Statusを確認しましたが、まだクリティカルな状態です。VMにSSH接続しましょう。

VMサーバー(Load Balancerバックエンド・サーバー)にSSHで接続し、Apacheサーバーを起動しようとしました。ただし、接続タイムアウト・メッセージを受け取りました。

SSHFailed

VM WebサーバーにSSH接続できない理由を確認します。

別のソース(コンピュータのパブリックIPアドレス)および宛先(VMパブリックIP)を使用して今回、NPAテストを実行します。次のスクリーンショットを参照してください。ステータスは「Unreachable」です。

SSH1

SSH2result

RouteIssue

上の結果を見ると、NPA-VM-1コンピュート・インスタンスからコンピュータにルートはありません。PublicSub-RT (このルーティング表はVMサブネットにアタッチされています)を確認して、そこに適切なルーティング・ルールを追加します。

NoRouteRule

Addroute

上の結果は、ルーティングテーブルが外部に到達するための適切なゲートウェイを必要としていることを示しています。(インターネットゲートウェイを追加する必要があります)。

テストを追加して再実行しました。

IGW-Success

そこで、ステータスはreachableに変更されました。NPAの結果に基づいて、VMにSSHしてApacheサーバーを起動できます。

PuttySuccess

LBステータスを確認し、全体的な状態は緑(お気に入りの色)でOKです。

LBGreen

 

まとめ

結論として、NPAテストでは、自己診断を有効にし、接続を数分でトラブルシューティングできます。これにより、OCIの全体的なエクスペリエンスが向上します。

 

お楽しみください。