Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OCI 仮想テスト・アクセス・ポイント(VTAP)概要
Search
Oracle Cloud Infrastructure ソリューション・エンジニア
July 20, 2022
Technology
1
1.9k
OCI 仮想テスト・アクセス・ポイント(VTAP)概要
VCNの仮想テスト・アクセス・ポイント(VTAP)の概要資料です。
2022/7/20: 初版アップロード
2022/12/14: 第2版アップロード
Oracle Cloud Infrastructure ソリューション・エンジニア
July 20, 2022
Tweet
Share
More Decks by Oracle Cloud Infrastructure ソリューション・エンジニア
See All by Oracle Cloud Infrastructure ソリューション・エンジニア
OCI技術資料 : オブジェクト・ストレージ 概要
ocise
3
16k
OCI技術資料 : 外部接続 詳細 FastConnect
ocise
4
16k
外部接続 詳細 - FastConnectの冗長性
ocise
1
13k
OCI技術資料 : OS管理ハブ 概要
ocise
2
2.6k
OCI技術資料 : コンピュート・サービス 概要
ocise
4
46k
OCI技術資料 : 組織管理 (Organization Management)
ocise
3
11k
OCI サービス基本情報
ocise
4
12k
OCI技術資料 : ロード・バランサ 概要 - FLB・NLB共通
ocise
4
24k
OCI技術資料 : ロード・バランサ 詳細 - フレキシブル・ロード・バランサ(FLB)
ocise
3
19k
Other Decks in Technology
See All in Technology
まだ間に合う! StrandsとBedrock AgentCoreでAIエージェント構築に入門しよう
minorun365
PRO
11
1.1k
Kiroと学ぶコンテキストエンジニアリング
oikon48
6
9.3k
BPaaSにおける人と協働する前提のAIエージェント-AWS登壇資料
kentarofujii
0
120
カミナシ社の『ID管理基盤』製品内製 - その意思決定背景と2年間の進化 #AWSUnicornDay / Kaminashi ID - The Big Whys
kaminashi
3
820
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
8.7k
AIのグローバルトレンド2025 #scrummikawa / global ai trend
kyonmm
PRO
1
250
オブザーバビリティが広げる AIOps の世界 / The World of AIOps Expanded by Observability
aoto
PRO
0
310
Nstockの一人目エンジニアが 3年間かけて向き合ってきた セキュリティのこととこれから〜あれから半年〜
yo41sawada
0
210
品質視点から考える組織デザイン/Organizational Design from Quality
mii3king
0
130
Obsidian応用活用術
onikun94
1
410
250905 大吉祥寺.pm 2025 前夜祭 「プログラミングに出会って20年、『今』が1番楽しい」
msykd
PRO
1
510
COVESA VSSによる車両データモデルの標準化とAWS IoT FleetWiseの活用
osawa
1
190
Featured
See All Featured
Docker and Python
trallard
45
3.5k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
126
53k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
8
520
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
[RailsConf 2023] Rails as a piece of cake
palkan
57
5.8k
How STYLIGHT went responsive
nonsquared
100
5.8k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Testing 201, or: Great Expectations
jmmastey
45
7.6k
Automating Front-end Workflow
addyosmani
1370
200k
Speed Design
sergeychernyshev
32
1.1k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.4k
Transcript
OCI VCN 仮想テスト・アクセス・ポイント Virtual Test Access Point (VTAP) 概要 Oracle
Cloud Infrastructure 技術資料 2022年12月
Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright
© 2022, Oracle and/or its affiliates 2
ネットワークのトラブルシューティングやセキュリティ監視などに活用できるパケット・キャプチャ機能 • VTAPはトラフィック・ミラーリング、フル・パケット・キャプチャとも呼ばれる機能を提供するVCNの中のコンポーネント。 • 指定されたソースを流れるトラフィックの中身をミラーして選択したターゲットに送信 • 取得フィルタのルールを設定することが可能 • ネットワークのトラブルシューティングやテスト、セキュリティ監視や分析などに活用可能 VTAP
(Virtual Test Access Point、仮想テスト・アクセス・ポイント) Copyright © 2022, Oracle and/or its affiliates 3 • ソース • コンピュート・インスタンスのVNIC、ロードバランサ、DBシステム、 Exadata VMクラスタ、ADWのプライベート・エンドポイント • ターゲット • ネットワーク・ロード・バランサ(NLB) • VTAPはあくまでキャプチャしたトラフィックをミラーして送信する機能なので、送信 されたログの蓄積や分析、監査、レポートを行うためには、ターゲットのNLBの バックエンドにインスタンスを配置し、必要なソフトウェアを構成して実施する必 要がある。 • 検証済のマーケットプレイス・ソリューション • Palo Alto Networks • Accedian
Copyright © 2022, Oracle and/or its affiliates 4 ソース •
VTAPがモニターするリソース。このリソースへ/からのトラフィックがミラー化され、 指定されたターゲットに送信される。 • 以下のソースを指定可能 • サブネット内の単一のコンピュート・インスタンスVNIC • Load Balancer • データベース・システム • Exadata VMクラスタ • プライベート・エンドポイントを使用するAutonomous Data Warehouseインスタンス • コンピュート・インスタンスの場合はアタッチされたVNICを指定 ターゲット • ミラー化されたトラフィックを受信するリソース • ネットワーク・ロード・バランサのみを指定可能 VTAPのソースとターゲットの指定 • VTAPソースとターゲットは同じVCN内に存在する必要がある • 1つのVNICを複数のVTAPのソースにすることはできない
Copyright © 2022, Oracle and/or its affiliates 5 取得フィルタ・ルールによってミラー化するトラフィックを選別すること が可能
• 複数のVTAPに同じ取得フィルタを適用することも可能 • 1つのフィルタに最低1個~最大10個のルールを作成 • 定義した順序に従って判定され、一致するルールが見つかるとその ルールが適用される • 取得フィルタのタイプ • イングレスまたはエグレス・トラフィック • ソースまたは宛先のIPv4 CIDRブロックまたはIPv6プリフィクス • IPプロトコルパラメータ(TCPまたはUDPポート範囲、ICMP、ICMPv6、す べてのプロトコル) 取得フィルタ・ルール
Copyright © 2022, Oracle and/or its affiliates 6 • VXLANネットワーク識別子(VNI)
• VXLANカプセル化トンネルを一意に識別するVNIを指定。指定しない場合、VNIが自動的に生成される。 • 最大パケット・サイズ • デフォルトのパケット・サイズは9000バイト。ターゲットでのパフォーマンスの向上または効率的な取込みのために、ミラー化されたパケットをより短い 長さに切り捨てることができる • VTAPは、9000バイトのデフォルトのMTUで動作する。VTAPカプセル化(VxLAN)のオーバーヘッドのため、VTAPソースであるインスタンスVNIC のMTUはターゲットMTUからVTAPカプセル化オーバーヘッドを引いたものを考慮する必要がある。パケットの切捨てを回避するには、ソース・イン スタンス・インタフェースのMTUをIPv4の場合は8950以下、IPv6の場合は8930以下に設定する。すべてのターゲット・インスタンスには、9000バ イトMTUを使用するようにNICを設定する(デフォルト値)。 高度なVTAPオプション • 優先度モード • デフォルトでは、本番トラフィックはVTAPミラー化トラフィックより優先され る。優先度モードを有効にすると、モニター対象のトラフィックとVTAPミ ラー化トラフィックに同じ優先順位が与えられる。 • このオプションを選択すると、ミラー化されたトラフィックによって、ソースが輻 輳したときにモニターされるトラフィックの一部が破棄されることがありえるの で、パケット損失が見つかった場合は、優先度モードを無効にするか、 ソース・シェイプをアップグレードして帯域幅を増やすこと。
Copyright © 2022, Oracle and/or its affiliates 7 • VXLANはイーサネットフレームをUDPでカプセル化するため、パケットにカプセル化のオーバーヘッドが
50 バイト が追加される。 【補足】パケットサイズの調節について 9000 byte 50 byte 9000 byte VTAP パケットサイズ 9000 9000 byte以上となるため 切り捨てが発生 ソースインスタンス MTU 9000 ターゲットインスタンス MTU 9000 8950 byte 50 byte 8950 byte もとのパケットを8950 byteまでにしておけば、 オーバーヘッド分が追加されても9000 byte 以内におさまるので切り捨てられることはない ソースインスタンス MTU 8950 ターゲットインスタンス MTU 9000 50 byte 8950 byte 50 byte 8950 byte VXLANによるカプセル化 ヘッダー(50byte) 元々のイーサネットフレーム 元のパケットが 9000 byteだった場合 ソースのMTUを 8950にした場合 VTAP パケットサイズ 9000 イーサネットフレーム
シナリオ:コンピュート・インスタンスのVNIC宛てのトラフィックを別のインスタンスでtcpdumpで取得 1. パケットをキャプチャするソースのインスタンス、およびリクエストを投げるクライア ント用インスタンスを作成 2. パケットを受信するターゲット・インスタンスを作成 • VNICの「ソース/宛先チェックのスキップ」にチェックを入れる 3. VTAPのターゲットとなるネットワーク・ロード・バランサ(NLB)を作成
• リスナーのプロトコル「UDP」(もしくはUDPを含むように選択) • ロード・バランサの「ソースIPの保持」有効化 • セキュリティ・リストまたはNSGのセキュリティ・ルールでUDP ポート4789を許可 VTAPの使用例 Copyright © 2022, Oracle and/or its affiliates 8 OCI Tokyo Region VCN Private Subnet 10.0.10.0/24 クライアント 10.0.10.95 サーバ(ソース) 10.0.10.83 バックエンド インスタンス 10.0.10.174 ターゲットNLB 10.0.10.58 VNIC Ping (ICMP) VTAP
シナリオ:コンピュート・インスタンスのVNIC宛てのトラフィックを別のインスタンスでtcpdumpで取得 4. メニュー「ネットワーキング・コマンド・センター」→「VTAP」 でVTAPを作成して起動 5. バックエンドのインスタンスでtcpdumpを起動しパケットを取得する準備をする 6. クライアントからサーバに対してping発行 VTAPの使用例 Copyright
© 2022, Oracle and/or its affiliates 9 ping -10.0.10.83 sudo tcpdump host 10.0.10.83 -vv
実行結果 VTAPの使用例 Copyright © 2022, Oracle and/or its affiliates 10
クライアント:ping発行 バックエンドのインスタンス:tcpdumpで取得 9000 byte以内 オーバーヘッド含め9000 byteを超える
日本語マニュアル – 仮想テスト・アクセス・ポイント • https://docs.oracle.com/ja-jp/iaas/Content/Network/Tasks/vtap.htm OCIチュートリアル – VTAPでパケットをミラーリングし、パケットキャプチャをする • https://oracle-japan.github.io/ocitutorials/intermediates/vtap/
VTAP 関連の技術情報 Copyright © 2022, Oracle and/or its affiliates 11
Oracle Cloud Infrastructure マニュアル (日本語 / 英語) • https://docs.cloud.oracle.com/iaas/api/ -
APIリファレンス • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/aqswhitepapers.htm - テクニカ ル・ホワイト・ペーパー • https://docs.cloud.oracle.com/iaas/releasenotes/ - リリースノート • https://docs.cloud.oracle.com/ja-jp/iaas/Content/knownissues.htm - 既知の問題(Known Issues) • https://docs.cloud.oracle.com/ja-jp/iaas/Content/General/Reference/graphicsfordiagrams.htm - OCIアイコン・ダイアグラム集(PPT、SVG、Visio用) ※ 日本語版は翻訳のタイムラグのため情報が古い場合があります。最新情報は英語版をご確認ください Oracle Cloud Infrastructure マニュアル・ドキュメント Copyright © 2022, Oracle and/or its affiliates 12
Oracle Cloud Infrastructure 活用資料集 • https://oracle-japan.github.io/ocidocs/ Oracle Cloud Infrastructure チュートリアル
• https://oracle-japan.github.io/ocitutorials/ Oracle Cloud ウェビナーシリーズ • https://www.oracle.com/goto/ocws-jp Oracle 主催 セミナー、ハンズオン・ワークショップ • https://www.oracle.com/search/events/_/N-2bu/ Oracle Cloud Infrastructure – General Forum (英語) • https://cloudcustomerconnect.oracle.com/resources/9c8fa8f96f/summary Oracle Cloud Infrastructure トレーニング・技術フォーラム Copyright © 2022, Oracle and/or its affiliates 13
Thank you 14 Copyright © 2022, Oracle and/or its affiliates
None