Instanaを使った時のHint&Tips (現場からの学び） / 上野憲一郎さん

Slide 1

Slide 1 text

Slide 2

Slide 2 text

© 2023 IBM Corporation 2 q 上野憲⼀郎 (うえのけんいちろう) q クライアントエンジニアリング本部 CTO, Principal Solution Architect q クラウド移⾏時のIT運⽤に関し、国内外のお客様への技術⽀援を実施 q SRE, ChatOps, AIOps, カオスエンジニアリングといった新しいサービスオペレーション関連の技術⽀援（運⽤⾼度化技術⽀援） q 技術記事執筆、カンファレンスでの発表など運⽤⾼度化に関する技術伝播を実施 q Application ServerおよびWebサービス性能向上に⻑年携わり、お客様システム性能改善に加え、学会・カンファレンス発表、特許取得などの活動も多数 q 近年はクラウドサービスマネージメント関連技術 (SRE, AIOps, カオスエンジニアリングなど)に傾倒⾃⼰紹介

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Slide 7

Slide 7 text

© 2023 IBM Corporation 7 主なネットワーク要件ファイアウォール設定 –アウトバウンドポートプロキシ設定 –フォワードプロキシ 1P$؀ڥ ؂ࢹର৅ ؂ࢹର৅ ؂ࢹର৅ ϑΥϫʔυ ϓϩΩγ ؂ࢹର৅ Ұൠར༻ऀ όοΫ Τϯυ ファイアウォール https://www.ibm.com/docs/ja/instana-observability/current?topic=agents-configuring-host#setting-up-an-agent-proxy Instana はさまざまなプロキシーと組み合わせて使⽤してください。⼀般的に、 HTTP、HTTPS、 SOCKS4、および SOCKS5 プロキシーがサポートされます。

Slide 8

Slide 8 text

Slide 9

Slide 9 text

© 2023 IBM Corporation 9 TLSインスペクション：HTTPS通信の場合クライアントとサーバ間をHTTPS通信で接続ファイアウォール TLS インスペクション複合化してデータをチェック暗号化されているため中⾝は⾒えないファイアウォールの証明書で暗号化サーバの証明書で暗号化 HTTPS HTTPS HTTPS HTTPS 宛先URLにはサーバのURLを指定 CONNECTリクエストをファイアウォールに送信ファイアウォールがサーバ宛にリクエストを送信

Slide 10

Slide 10 text

© 2023 IBM Corporation 10 TLSインスペクション：Instana Agentの場合 Agentとバックエンド間をHTTPS通信で接続ファイアウォール TLS インスペクション複合化してデータをチェック暗号化されているため中⾝は⾒えないファイアウォールの証明書で暗号化サーバの証明書で暗号化 HTTPS HTTPS HTTPS HTTPS 宛先URLにはバックエンドのURLを指定 CONNECTリクエストをファイアウォールに送信ファイアウォールがバックエンド宛にリクエストを送信 ؂ࢹର৅ ؂ࢹର৅ όοΫ Τϯυ όοΫ Τϯυ

Slide 11

Slide 11 text

© 2023 IBM Corporation 11 TLSに関する注意事項その１サポートしているTLSのバージョンに注意が必要 –マニュアルに以下の記述あり「有効な TLS バージョンは、 TLSv1、 TLSv1.1、 TLSv1.2、および TLSv1.3です。」 –上記は、バックエンドがサポートするTLSのバージョンであり、クライアント側（=Agentが稼働する環境）との整合性をとる必要がある。 –クライアント側がサポートしているバージョンを確認しましょう。 https://www.ibm.com/docs/ja/instana-observability/current?topic=agents-configuring-host#setting-up-tls-encryption-for-agent-endpoint

Slide 12

Slide 12 text

© 2023 IBM Corporation 12 TLSに関する注意事項その２プロキシ設定・ファイアウォール設定に注意が必要 –マニュアルに以下の記述あり「プロキシーは、パススルーする CONNECT メソッドをサポートする必要があります。」「SSL 接続を終了してから、Instana バックエンドへの独⾃接続の管理を試みるプロキシーはサポートされていません。」 TLSインスペクションはサポートされない！

Slide 13

Slide 13 text

© 2023 IBM Corporation 13 TLSインスペクション：Instana Agentの場合 Agentとバックエンド間をHTTPS通信で接続ファイアウォール TLS インスペクション複合化してデータをチェック暗号化されているため中⾝は⾒えないファイアウォールの証明書で暗号化サーバの証明書で暗号化 HTTPS HTTPS HTTPS HTTPS 宛先URLにはバックエンドのURLを指定 CONNECTリクエストをファイアウォールに送信ファイアウォールがバックエンド宛にリクエストを送信 ؂ࢹର৅ ؂ࢹର৅ όοΫ Τϯυ όοΫ Τϯυ

Slide 14

Slide 14 text

© 2023 IBM Corporation 14 多段プロキシ & TLSインスペクションに対する解決策 Instanaサポート要件 Instana エージェント導⼊サーバ Proxy Firewall Instana バックエンド (SaaS) Proxy Firewall PoC環境 (バイパス設定完了後) Proxy Firewall バイパス Instanaでは Instana エージェントとInstana バックエンド間で１つのSSL/TLSによる暗号化通信を直接⾏うことが必要 FirewallにてTLSインスペクションを実施しているため、２つのTLSによる暗号化通信が発⽣(Instana エージェントとFirewall、 FirewallとInstanaバックエンド) Instanaがサポートしない要件となり、通信に失敗 FirewallにInstana エージェントとInstana バックエンド(SaaS)間をバイパス設定登録することで 1つのSSL/TLSによる暗号化通信が可能 InstanaエージェントとInstanaバックエンド間のSSL/TLS暗号化通信が可能 TLSインスペクション Instana バックエンド (SaaS) Instana エージェント導⼊サーバ Instana エージェント導⼊サーバ Instana バックエンド (SaaS) End-to-endのTLS暗号化通信 PoC環境

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

© 2023 IBM Corporation 17 Windows版 Instanaエージェントを利⽤する場合、各種情報を取得するためのプロセス（InstanaPCP.exe）が導⼊・起動このプロセスは、Linux版には存在しない普段、Linux版を利⽤されることが多い場合は、InstanaPCP.exeの存在に気が付かないかも… マニュアルに以下が記述あり Windows では、エージェントの開始時に InstanaPCP アプリケーションが⾃動的に開始します。 InstanaPCP アプリケーションは、以下のアクションを実⾏します。 • IIS がホストするアプリケーションの⾃動トレースの環境をセットアップします。 • 実⾏中のプロセス (GC や CPU など) のメトリックを収集し、それらをエージェントに送信します。 • Windows ホスト上で実⾏中のプロセスのリストをエージェントに送信します。 • configuration.yaml ファイルに定義されているカスタム・パフォーマンス・カウンター・メトリックを収集します。 Windows プロセスのモニター https://www.ibm.com/docs/ja/instana-observability/256?topic=framework-monitoring-windows-processes