※ 本記事は、Misha Kasvinによる”Announcing VTAP for Oracle Cloud Infrastructure“を翻訳したものです。

2022年5月9日

Oracle Cloud Infrastructure(OCI)の仮想テスト・アクセス・ポイント(VTAP)の一般販売をお知らせします。VTAP機能は、トラフィック・ミラー化とも呼ばれます。これは、ネットワーク内の特定のポイントをトラバースするトラフィックをコピーし、さらに分析するために、ミラー化されたトラフィックをネットワーク・パケット・コレクタまたはネットワーク分析ツールに送信します。VTAPは IPv4トラフィック・ミラーリングと IPv6トラフィック・ミラーリングの両方をサポートします。

一般的なユース・ケース

VTAPは、ポートをミラー化するのではなく、特定のOracleリソース(OCI Databaseサービス、Exadata仮想マシン(VM)クラスタ、インスタンス仮想ネットワーク・インタフェース・カード(VNIC)、load balancer as a service(LBaaS)、Autonomous Data Warehouseなど)でトラフィックをミラーリングすることを除き、ポート・ミラー化の仮想バージョンに似ています。このソースのすべてのトラフィックをミラー化するか、キャプチャ・フィルタを使用して関心のあるトラフィックのみをミラー化できます。ミラー化されたトラフィックは、VTAPターゲット・ネットワーク・ロード・バランサに送信され、そのあとは、任意のモニタリング・ツールをホストして、リアルタイムでキャプチャまたは検査できます。次のユース・ケースに使用できます。

  • 脅威監視およびフォレンジック分析: IT組織および管理者は、ネットワーク・トラフィックを包括的に可視化し、詳細な異常を特定することに常に関心があります。トラフィックをネットワーク分析ツールに継続的にミラーリングすることで、後で詳細な検査や調査が可能になり、侵入やセキュリティ侵害など、進行中の異常な動作を検出できます。

  • コンプライアンス: 必要なトラフィックをネットワーク監視アプライアンスにミラー化することで、特定のトラフィックの監視およびロギングを行うコンプライアンス要件に準拠します。

  • トラブルシューティング: VTAPを使用して、ネットワークの問題の診断に役立てます。トラフィックをキャプチャし、tcpdumpやWiresharkなどのネットワーク・パケット・コレクタでさらに分析できるVTAPターゲットに送信できます。このプロセスは、問題の識別、アプリケーションのパフォーマンスに影響する可能性がある、または仮想クラウド・ネットワーク(VCN)フロー・ログで使用可能なものより詳細な可視性が必要な場合などに役立ちます。

VTAPの開始

各VTAPは、次のコンポーネントで構成されます。

  • VTAPソース: このリソースは、VTAPがモニターするVCN内に存在します。このソースのトラフィックはミラー化され、VTAPターゲットに送信されます。VTAPソースは、OCIデータベース、Exadata VMクラスタ、インスタンスVNIC、LBaaSまたはAutonomous Data Warehouseです。

  • VTAPターゲット: 選択したVTAPソースからミラー化されたトラフィックを受信するターゲットです。VTAPターゲットは、VTAPソースと同じVCN内のポート4789のユーザー・データグラム・プロトコル(UDP)リスナーを持つネットワーク・ロード・バランサである必要があります。宛先ネットワーク・パケット・コレクタまたは分析ツールをこのターゲット・ネットワーク・ロード・バランサのバックエンドとして構成します。

  • 取得フィルタ: 取得フィルタはVTAPに関連付けられ、VTAPソースでミラー化するトラフィックのタイプを定義します。方向(イングレスおよびエグレス)、ソースおよび宛先CIDR、プロトコル(TCP、UDPおよびICMP)、ソースおよび宛先ポートなど、包含または除外アクションを持つ取得フィルタ内に複数のルールを作成します。取得フィルタ内のルールは、アクセス・リストと同様に上から下に分析され、ミラー化されるトラフィックを決定します。VTAPには取得フィルタが関連付けられている必要があり、各取得フィルタには少なくとも1つのルールが必要です。

VTAPソースで取得されたトラフィックは、RFC 7348に従ってVXLANにカプセル化され、VTAPターゲットに送信されます。各VTAPに異なるVXLANネットワーク識別子(VNI)を指定して、ターゲットの複数のVTAPを区別できます。特定のVNIが選択されていない場合、未使用のVNIが自動的にVTAPに割り当てられます。

VTAPを構成する前に、関連するサブネットを含む構成済VCNが必要です。ミラーリングするトラフィックを許可するために、適切なセキュリティ・リストおよびネットワーク・セキュリティ・グループ・ルールが設定されていることを確認します。VTAPソースは、ネットワーク・ロード・バランサ・ターゲットおよびポート4789のUDPリスナーを使用して、VCN内でプロビジョニングおよび使用可能である必要があります。ネットワーク・ロード・バランサ・バックエンドを構成して、選択したネットワーク・パケット・コレクタ・ソフトウェアまたはネットワーク分析ツールでコンピュート・インスタンスを含めます。

その他の機能

  • 最大パケット・サイズ: パケットは、VTAPソースに到着したとおりにミラー化されます。ただし、VTAPでは、ネットワーク監視ツールの選択で完全なジャンボ・フレームがサポートされていない、または各パケットのヘッダーとペイロードの分析だけに興味がある場合は、使用時にパケットの切捨てを構成することもできます。

  • 優先度モード: VTAPソースで生成されたミラー化されたトラフィックは、VNICの使用可能な合計帯域幅に対してカウントされます。輻輳が発生した場合、OCIは本番トラフィックに優先順位を付け、ミラー化されたトラフィックを最初に破棄します。VTAPの優先モードを有効にし、ミラー化されたトラフィックに本番トラフィックと同じ優先順位を付けることができます。このオプションは、すべてのネットワーク・トラフィックの取得が重要なコンプライアンスなどのユース・ケースで重要です。

サンプル・ユース・ケースと設定

ここでは、VTAPを使用できるサンプル・ユース・ケースとその設定方法について説明します。この場合、パブリックにアクセス可能なWebサイトを提供するWebサーバー・バックエンドを含むパブリック・フレキシブル・ロード・バランサがあります。このLBaaSでVTAPを有効にして、すべてのHTTPトラフィックを取得したいと考えています。その後、ネットワーク・ロード・バランサの背後にあるネットワーク監視ツールにミラー化されて送信されるため、さらなる分析や異常や悪意のある動作の特定が可能になります。

OCIにおけるVTAPのアーキテクチャを示す図

VTAPの構成を開始するには、Oracle Cloudコンソールを開き、VTAPソースが配置されているVCNを参照します。ページの左側にある「リソース」で、「VTAP」をクリックします。この選択により、VTAPの概要ページに移動します。ここで、VTAPを構成し、フィルタを取得して、すでに構成されているVTAPの関連ステータス情報をすべて表示できます。

Consoleの「コンパートメント」ページの「VTAP」タブのスクリーンショット

VTAPの構成プロセスを開始するには、「Create VTAP」ボタンをクリックします。また、VTAPの取得フィルタを構成および関連付けます。

「Create VTAP」ページのスクリーンショット

VTAPに名前を付けたあと、トラフィックがミラー化されるVTAPソースを定義します。最初に、ソース・タイプ(この例ではロード・バランサ)、LBaaSがプロビジョニングされているサブネット、および特定のLBaaSを選択します。サブネットまたはロード・バランサが別のコンパートメントにある場合も、コンパートメントを選択する必要があります。

フィールドが入力された「VTAP Source」セクションのスクリーンショット

次に、VTAPターゲットを選択する必要があります。VTAPターゲットはネットワーク・ロード・バランサである必要があります。VTAPソース構成と同様に、ネットワーク・ロード・バランサが配置されているサブネットを選択し、ミラー化されたトラフィックを送信する特定のネットワーク・ロード・バランサを選択します。サブネットまたはネットワーク・ロード・バランサが別のコンパートメントにある場合も、コンパートメントを選択する必要があります。

フィールドが入力された「VTAP Target」セクションのスクリーンショット

VTAPソースおよびターゲットが選択されたら、関連する取得フィルタを構成します。

メニューが展開された「Capture Filter」セクションのスクリーンショット

メニューから「Create new capture filter」をクリックすると、別の構成ペインが開き、取得フィルタ・ルールを構成できます。

取得フィルタ・ルールは、一致が見つかるまで上から下に分析されます。このVTAPの場合、クライアント要求とWebサーバー応答の両方のトラフィックがミラー化されるように、両方の方向のすべてのHTTPトラフィックを取得したいと考えています。したがって、2つのインクルード・ルールを作成します(各方向に1つずつ)。作成されたルールに一致するトラフィックのみがミラー化されます。

取得フィルタ・ルール・ページのスクリーンショット

すべての取得フィルタ・ルールを構成したら、「Create capture filter」ボタンをクリックして取得フィルタを保存します。保存後、VTAP構成のメニューで取得フィルタが自動的に選択されます。

新しいフィルタが選択された「Capture Filter」セクションのスクリーンショット

VTAPソース、ターゲット、および取得フィルタが選択されたので、「Create VTAP」ボタンをクリックしてVTAPを作成します。

新しいVTAPが作成されると、デフォルトのステータスは「Stopped」になります。つまり、VTAPが手動で起動するまで、トラフィックのミラー化は開始されません。特定のVTAPのVTAP詳細ページ上部の「Start」ボタンをクリックして、トラフィックのミラー化を開始します。

ステータスが「Off」の「VTAP Details」ページのスクリーンショット

VTAPが構成および起動されたので、ネットワーク・ロード・バランサのバックエンドとしてすでに構成されているネットワーク監視ツールに移動し、ミラー化されたトラフィックを受信していることを確認できます。

まとめ

Oracle Cloud Infrastructureおよび新しいVTAP機能に関心を持っていただき、ありがとうございます。モニタリングのニーズに応える、この新しい動的かつ柔軟なソリューションをお届けします。

VTAPは複数の異なるソース・タイプをサポートしているため、関心のあるトラフィックを取得し、ニーズに合う任意のコンピュート・インスタンス・シェイプに選択した監視ツールをデプロイできます。リソースを指定するときに、そのリソースをサポートする基盤となるインフラストラクチャーが変更された場合(ExadataクラスタにVMを追加するなど)、VTAPが関連するトラフィックを動的に更新し、引き続き取得することを保証できます。

使用可能なVTAPドキュメントでVTAPの詳細を確認し、製品フィードバックをお待ちしております。