Packet Mirroring

Prev Next

VPC環境で利用できます。

Packet Mirroringを利用して VPCネットワークで指定されたサーバ(Network Interface)のパケットをキャプチャーし、送りたいサーバに送信できます。Packet Mirroring機能を使用するために Mirror Resourceと Mirror Filterを作成して Mirror Tunnelに適用します。

参考
  • アカウント間の Mirror Tunnel構成時に VPC Peering区間を利用するため、ネットワーク料金が発生します。
注意
  • 同じリージョン内でのみ構成できます。
  • 同じサブネットでは Mirror Tunnelの作成ができません。
  • Mirror Destinationの NIC構成の注意事項
    • 一般 VPCに属するサーバは単一 NIC(eth0)のみ設定できます。
    • Transit VPCに属する KVMサーバは全ての NIC(eth0、eth1、eth2)を設定できます。
  • Mirror Sourceと Mirror Destinationがそれぞれ違う VPCまたはアカウント間の Mirror Tunnelで構成する場合は VPC Peeringによって接続されます。
  • Mirror Destinationで SFC Inline Loadbalancerを構成する場合は、Transit VPCと接続するための Transit VPC connectを構成します。

Packet Mirroring構成要素

Packet Mirroringサービスは Mirror Resource、Mirror Filter、Mirror Tunnelで構成されます。

Mirror Resource

パケットミラーリングが適用される Mirror Source(パケットミラーリングの対象)と Mirror Destination(ミラーリングされたパケットの目的地)を作成・管理

  • Mirror Source
    • Network Interface
  • Mirror Destination
    • Network Interface
    • Inline Loadbalancer

Mirror Filter

パケットミラーリングフィルタポリシーの作成と管理

  • Mirror Filter
    • Inbound Rules
    • Outbound Rules

Mirror Tunnel

パケットミラーリングが実行できるように Mirror Source(パケットミラーリング対象)と Mirror Destination(ミラーリングされたパケットの目的地)、Mirror Filter(パケットミラーリングポリシー)設定を組み合わせて Mirror Tunnelを作成・管理

  • Mirror Source
  • Mirror Destination
  • Mirror Filter

Packet Mirroring作成

Packet Mirroringの構成手続きは Mirror Resource、Mirror Filter -> Mirror Tunnelの順で行われ、方法は次の通りです。

  1. NAVERクラウドプラットフォームコンソールの VPC環境で、i_menu > Services > Networking > Packet Mirroringメニューを順にクリックします。
  2. Mirror Resourceメニューをクリックします。
    • [作成] ボタンをクリックします。
      • Mirror Resource名: Mirror Resourceの名前
      • Mirror Resourceの用途: Mirror Resourceの用途の定義
        • Mirror Source: Mirror Source用途に設定
        • Mirror Destination: Mirror Destination用途に設定
      • Mirror Resourceタイプ: Mirror Resourceのタイプ用途の定義
        • Networkinterface: サーバの NICタイプに設定
        • LoadBalancer: SFC Inline LoadBalancerタイプに設定、Mirror Destinationのみ構成可能
      • Mirror Resource対象: Mirror Resourceの設定対象
      注意

      Mirror Destinationの対象に Mirror Source IPについての ACG/NACL Inbound Rule(Protocol UDP、Port 4789) Permit設定が必要です。

      • メモ: 作成する Mirror Resourceの説明を1,000バイト以下で入力
    • [作成] ボタンをクリックします。
    • Mirror Resourceリストから作成された Mirror Resourceを確認します。
  3. Mirror Filterメニューをクリックします。
    • [作成] ボタンをクリックします。
      • Filter名: 作成する Mirror Filterの名前
      • メモ: 作成する Mirror Filterの説明を1,000バイト以下で入力
    • Mirror Filterリストから作成された Mirror Filterを確認します。
    • ルールを設定します。
  4. Mirror Tunnelメニューをクリックします。
    • [作成] ボタンをクリックします。
      • Mirror Tunnel名: Mirror Tunnelの名前
      • Mirror Source VPC: Mirror Tunnel Sourceの VPC名
      • Mirror Source: Mirror Sourceに作成したリソース名
      • 受諾 Mirror Destination: アカウント間 Mirror Tunnelの設定区分
        • マイアカウント: 自分のアカウントに接続する際に設定
        • 別のアカウント: 他人のアカウントに接続する際に設定
      • Mirror Resourceタイプ
        • Networkinterface: VMの Networkinterfaceタイプ
        • LoadBalancer : Inline LoadBalancer
      • Mirror Destination VPC: Mirror Tunnel Destination VPCの名前
      • Mirror Destination: Mirror Destinationのリソース名
      • Mirror Filter: Mirror Filterの名前
      • VNI: 顧客が直接設定する仮想インタフェースの番号
      • パケット長: 処理可能なパケットの長さ
      • メモ: 作成する Mirror Tunnelの説明を1,000バイト以下で入力
      注意
      • アカウント間 Mirror Tunnelに設定された Mirror Destinationは変更設定が制限されます。
      • パケット長を入力しない場合、パケット全体をミラーリングします(KVM: 1450byte、XEN: 8900byte)
      • 一般 VPC上で G2(Xen) G3(KVM)サーバを Mirror Tunnelで並行して構成してパケットを流通する場合、2つのサーバタイプの処理可能 MTUサイズが異なるため、パケット処理時にエラーが発生することがあります。従って MTUサイズが小さいサーバの MTUサイズを基準にしてパケット長を設定します。
      • Transit VPC上で構成できる G3(KVM)の場合、MTU 64~8900byteをサポートするため、制限なしで構成できます。
    • [作成] ボタンをクリックします。
  5. Mirror Tunnelリストから作成された Mirror Tunnelを確認します。

アカウント間 Mirror Tunnelの受諾

アカウント間 Mirror Tunnel構成をリクエストした場合、受諾者のアカウントでリクエストへのレスポンスを受諾すると接続が完了します。受諾者の Mirror Tunnelで受諾または拒否する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールの VPC環境で、i_menu > Services > Networking > Packet Mirroringメニューを順にクリックします。
  2. Mirror Tunnelメニューをクリックします。
  3. Mirror Tunnelの [受託待ち] 項目をクリックして [詳細情報] 画面が表示されたら、リクエストへのレスポンスで有効になっている受諾または拒否ボタンをクリックします。
    • 受諾リクエストについてのステータスは次の通りです。
      • waiting: 受諾待ち
      • setting: 設定中
    • 受諾者が受諾を選択すると、アカウント間 Mirror Tunnelの接続設定が完了します。
    • 受諾者が拒否を選択すると、アカウント間 Mirror Tunnelの接続が拒否され、直ちに Mirror Tunnelが削除されます。

アカウント間 Mirror Tunnel削除

作成して運用中の Packet Mirroringを削除できます。削除する方法は、次の通りです。

参考
  • 別のアカウントで受諾して構成が終わった Mirror Tunnel: リクエスタと受諾者の二人とも削除可能
  • 別のアカウントにリクエストを送った、レスポンス待ちの Mirror Tunnel: リクエスタがすぐに削除可能(ただし、受諾者は削除不可能、受諾/拒否のみ可能)。
  • 別のアカウントにリクエストを送ってレスポンス待ちの Mirror Tunnelを受諾者が拒否した場合: 当該 Mirror Tunnelは削除される

Mirror Tunnel削除

Mirror Tunnelを削除する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールの VPC環境で、i_menu > Services > Networking > Packet Mirroringメニューを順にクリックします。
  2. Mirror Tunnelメニューをクリックします。
  3. 削除する Mirror Tunnelを選択した後、 [削除] ボタンをクリックします。
  4. Mirror Tunnel削除のポップアップが表示されたら、 [削除] ボタンをクリックします。
  5. Mirror Tunnelリストから削除対象 Mirror Tunnelのステータスを確認します。
    • 終了中: Mirror Tunnelを削除中のステータス

Mirror Resource削除

Mirror Resourceを削除する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールの VPC環境で、i_menu > Services > Networking > Packet Mirroringメニューを順にクリックします。
  2. Mirror Resourceメニューをクリックします。
  3. 削除する Mirror Resourceを選択した後、 [削除] ボタンをクリックします。
  4. Mirror Resource削除のポップアップが表示されたら、 [削除] ボタンをクリックします。
  5. Mirror Resourceリストから削除されたか確認します。

Mirror Filter削除

Mirror Filterを削除する方法は、次の通りです。

  1. NAVERクラウドプラットフォームコンソールの VPC環境で、i_menu > Services > Networking > Packet Mirroringメニューを順にクリックします。
  2. Mirror Filterメニューをクリックします。
  3. 削除する Mirror Filterを選択した後、 [削除] ボタンをクリックします。
  4. Mirror Filter削除のポップアップが表示されたら、 [削除] ボタンをクリックします。
  5. Mirror Filterリストから削除されたか確認します。