VCNの仮想テスト・アクセス・ポイント(VTAP)の概要資料です。
2022/7/20: 初版アップロード 2022/12/14: 第2版アップロード
OCI VCN 仮想テスト・アクセス・ポイントVirtual Test Access Point (VTAP) 概要Oracle Cloud Infrastructure 技術資料2022年12月
View Slide
Safe harbor statement以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。Copyright © 2022, Oracle and/or its affiliates2
ネットワークのトラブルシューティングやセキュリティ監視などに活用できるパケット・キャプチャ機能• VTAPはトラフィック・ミラーリング、フル・パケット・キャプチャとも呼ばれる機能を提供するVCNの中のコンポーネント。• 指定されたソースを流れるトラフィックの中身をミラーして選択したターゲットに送信• 取得フィルタのルールを設定することが可能• ネットワークのトラブルシューティングやテスト、セキュリティ監視や分析などに活用可能VTAP (Virtual Test Access Point、仮想テスト・アクセス・ポイント)Copyright © 2022, Oracle and/or its affiliates3• ソース• コンピュート・インスタンスのVNIC、ロードバランサ、DBシステム、Exadata VMクラスタ、ADWのプライベート・エンドポイント• ターゲット• ネットワーク・ロード・バランサ(NLB)• VTAPはあくまでキャプチャしたトラフィックをミラーして送信する機能なので、送信されたログの蓄積や分析、監査、レポートを行うためには、ターゲットのNLBのバックエンドにインスタンスを配置し、必要なソフトウェアを構成して実施する必要がある。• 検証済のマーケットプレイス・ソリューション• Palo Alto Networks• Accedian
Copyright © 2022, Oracle and/or its affiliates4ソース• VTAPがモニターするリソース。このリソースへ/からのトラフィックがミラー化され、指定されたターゲットに送信される。• 以下のソースを指定可能• サブネット内の単一のコンピュート・インスタンスVNIC• Load Balancer• データベース・システム• Exadata VMクラスタ• プライベート・エンドポイントを使用するAutonomous Data Warehouseインスタンス• コンピュート・インスタンスの場合はアタッチされたVNICを指定ターゲット• ミラー化されたトラフィックを受信するリソース• ネットワーク・ロード・バランサのみを指定可能VTAPのソースとターゲットの指定• VTAPソースとターゲットは同じVCN内に存在する必要がある• 1つのVNICを複数のVTAPのソースにすることはできない
Copyright © 2022, Oracle and/or its affiliates5取得フィルタ・ルールによってミラー化するトラフィックを選別することが可能• 複数のVTAPに同じ取得フィルタを適用することも可能• 1つのフィルタに最低1個~最大10個のルールを作成• 定義した順序に従って判定され、一致するルールが見つかるとそのルールが適用される• 取得フィルタのタイプ• イングレスまたはエグレス・トラフィック• ソースまたは宛先のIPv4 CIDRブロックまたはIPv6プリフィクス• IPプロトコルパラメータ(TCPまたはUDPポート範囲、ICMP、ICMPv6、すべてのプロトコル)取得フィルタ・ルール
Copyright © 2022, Oracle and/or its affiliates6• VXLANネットワーク識別子(VNI)• VXLANカプセル化トンネルを一意に識別するVNIを指定。指定しない場合、VNIが自動的に生成される。• 最大パケット・サイズ• デフォルトのパケット・サイズは9000バイト。ターゲットでのパフォーマンスの向上または効率的な取込みのために、ミラー化されたパケットをより短い長さに切り捨てることができる• VTAPは、9000バイトのデフォルトのMTUで動作する。VTAPカプセル化(VxLAN)のオーバーヘッドのため、VTAPソースであるインスタンスVNICのMTUはターゲットMTUからVTAPカプセル化オーバーヘッドを引いたものを考慮する必要がある。パケットの切捨てを回避するには、ソース・インスタンス・インタフェースのMTUをIPv4の場合は8950以下、IPv6の場合は8930以下に設定する。すべてのターゲット・インスタンスには、9000バイトMTUを使用するようにNICを設定する(デフォルト値)。高度なVTAPオプション• 優先度モード• デフォルトでは、本番トラフィックはVTAPミラー化トラフィックより優先される。優先度モードを有効にすると、モニター対象のトラフィックとVTAPミラー化トラフィックに同じ優先順位が与えられる。• このオプションを選択すると、ミラー化されたトラフィックによって、ソースが輻輳したときにモニターされるトラフィックの一部が破棄されることがありえるので、パケット損失が見つかった場合は、優先度モードを無効にするか、ソース・シェイプをアップグレードして帯域幅を増やすこと。
Copyright © 2022, Oracle and/or its affiliates7• VXLANはイーサネットフレームをUDPでカプセル化するため、パケットにカプセル化のオーバーヘッドが 50 バイト が追加される。【補足】パケットサイズの調節について9000 byte50 byte9000 byteVTAPパケットサイズ90009000 byte以上となるため切り捨てが発生ソースインスタンスMTU 9000ターゲットインスタンスMTU 90008950 byte50 byte8950 byteもとのパケットを8950 byteまでにしておけば、オーバーヘッド分が追加されても9000 byte以内におさまるので切り捨てられることはないソースインスタンスMTU 8950ターゲットインスタンスMTU 900050 byte8950 byte50 byte8950 byteVXLANによるカプセル化ヘッダー(50byte)元々のイーサネットフレーム元のパケットが9000 byteだった場合ソースのMTUを8950にした場合VTAPパケットサイズ9000イーサネットフレーム
シナリオ:コンピュート・インスタンスのVNIC宛てのトラフィックを別のインスタンスでtcpdumpで取得1. パケットをキャプチャするソースのインスタンス、およびリクエストを投げるクライアント用インスタンスを作成2. パケットを受信するターゲット・インスタンスを作成• VNICの「ソース/宛先チェックのスキップ」にチェックを入れる3. VTAPのターゲットとなるネットワーク・ロード・バランサ(NLB)を作成• リスナーのプロトコル「UDP」(もしくはUDPを含むように選択)• ロード・バランサの「ソースIPの保持」有効化• セキュリティ・リストまたはNSGのセキュリティ・ルールでUDP ポート4789を許可VTAPの使用例Copyright © 2022, Oracle and/or its affiliates8OCI Tokyo RegionVCNPrivate Subnet10.0.10.0/24クライアント10.0.10.95サーバ(ソース)10.0.10.83バックエンドインスタンス10.0.10.174ターゲットNLB10.0.10.58VNICPing(ICMP)VTAP
シナリオ:コンピュート・インスタンスのVNIC宛てのトラフィックを別のインスタンスでtcpdumpで取得4. メニュー「ネットワーキング・コマンド・センター」→「VTAP」 でVTAPを作成して起動5. バックエンドのインスタンスでtcpdumpを起動しパケットを取得する準備をする6. クライアントからサーバに対してping発行VTAPの使用例Copyright © 2022, Oracle and/or its affiliates9ping -10.0.10.83sudo tcpdump host 10.0.10.83 -vv
実行結果VTAPの使用例Copyright © 2022, Oracle and/or its affiliates10クライアント:ping発行 バックエンドのインスタンス:tcpdumpで取得9000 byte以内オーバーヘッド含め9000 byteを超える
日本語マニュアル – 仮想テスト・アクセス・ポイント• https://docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/vtap.htmOCIチュートリアル – VTAPでパケットをミラーリングし、パケットキャプチャをする• https://oracle-japan.github.io/ocitutorials/intermediates/vtap/VTAP 関連の技術情報Copyright © 2022, Oracle and/or its affiliates11
Oracle Cloud Infrastructure マニュアル (日本語 / 英語)• https://docs.cloud.oracle.com/iaas/api/ - APIリファレンス• https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカル・ホワイト・ペーパー• https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート• https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues)• https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm -OCIアイコン・ダイアグラム集(PPT、SVG、Visio用)※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認くださいOracle Cloud Infrastructure マニュアル・ドキュメントCopyright © 2022, Oracle and/or its affiliates12
Oracle Cloud Infrastructure 活用資料集• https://oracle-japan.github.io/ocidocs/Oracle Cloud Infrastructure チュートリアル• https://oracle-japan.github.io/ocitutorials/Oracle Cloud ウェビナーシリーズ• https://www.oracle.com/goto/ocws-jpOracle 主催 セミナー、ハンズオン・ワークショップ• https://www.oracle.com/search/events/_/N-2bu/Oracle Cloud Infrastructure – General Forum (英語)• https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summaryOracle Cloud Infrastructure トレーニング・技術フォーラムCopyright © 2022, Oracle and/or its affiliates13
Thank you14 Copyright © 2022, Oracle and/or its affiliates