ネットワーク・パス・アナライザ
ネットワーク・パス・アナライザ・ツールについて学習します。
Network Path Analyzerの概要
ネットワーク・パス・アナライザ(NPA)は統合された直感的な機能で、接続性に影響する仮想ネットワーク構成の問題を識別するために使用できます。NPAは、ネットワーク構成を収集および分析して、ソースと宛先間のパスの動作または障害を判別します。実際のトラフィックは送信されず、かわりに到達可能性の確認のために構成が調査および使用されます。
NPAはルーティングおよびセキュリティ構成を慎重に調査し、定義されたトラフィックが横断する潜在的なネットワーク・パスと、パス内の仮想ネットワーキング・エンティティに関する情報を識別します。パス情報に加えて、これらのチェックの出力には、ルーティング・ルールおよびネットワーク・アクセス・リスト(セキュリティ・リストやNSGなど)がトラフィックをどのように許可または拒否するかが含まれます。ソースと宛先は、OCI内、OCIとオンプレミス間、またはOCIとインターネット間に設定できます。NPAは、すべての標準OCIネットワーキング要素と、それらに関連付けられた構成を分析します。
NPAを使用すると、次が可能です:
- 接続の問題を引き起こしているルーティングおよびセキュリティの構成の誤りをトラブルシューティングします
- 論理ネットワーク・パスがインテントと一致していることを検証します
- トラフィックの送信を開始する前に、仮想ネットワーク接続設定が想定どおりに機能することを確認します
これらの目的を達成するには、動作すると思われるテストを作成してから、テストを実行します。このテスト定義を保存して、後で再度実行することもできます。保存済テストは、選択できるように「ネットワーク・パス・アナライザ」ページに表示されます。
次のソースおよび宛先シナリオがサポートされています:
- OCIからOCI
- OCIからオンプレミス
- オンプレミスからOCI
- インターネットからOCI
- OCIからインターネット
テストは、次のパラメータに対して定義できます:
| ソース・オプション | 宛先オプション | プロトコル | ポート情報 | 双方向フラグ |
|---|---|---|---|---|
|
|
現在のセキュリティ・リストでサポートされている任意のIPプロトコル。 |
提供されるプロトコル・タイプに応じて:
|
TCPおよびUDPに対してデフォルトで有効になっている双方向チェック・フラグ。このフラグをオフにして、単方向接続およびパス(ソースから宛先)をチェックすることも可能です。このフラグは、TCP/UDP以外のプロトコルでは無効です。 |
分析は完全な構成スナップショットを使用して行われますが、結果として表示されるネットワーク・パスは、ユーザーが表示する権限を持っているエンティティに制限されます。パス内のオブジェクトを表示するために必要な権限がない場合、テスト出力にはそれらのオブジェクトやその他の詳細は表示されません。
ネットワーク・パス・アナライザは、オープン・ソースのネットワーク構成分析ライブラリであるBatfishを使用します。NPAは、Batfishを使用して到達可能性分析を実行し、構成エラーを識別します。BatfishライブラリはIntentionetが管理しています。
必要な権限
ネットワーク・パス・アナライザを使用するには、常にテナンシ・レベルで次の権限ポリシーを設定することをお薦めします(これらの権限をコンパートメント・レベルで設定すると、パス分析結果の正確性が低下する可能性があります:
allow group <group-name> to manage vn-path-analyzer-test in tenancy
allow any-user to inspect compartments in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read instances in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read virtual-network-family in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read load-balancers in tenancy where all { request.principal.type = 'vnpa-service' }
allow any-user to read network-security-group in tenancy where all { request.principal.type = 'vnpa-service' } <group-name>は、ネットワーキング・リソースの管理者グループの名前です。
このツールを使用する権限を付与すると、ネットワーク構成およびネットワーク・セキュリティ設定に関する情報がツールのユーザーに過剰に公開される可能性があります。悪意のあるユーザーは、到達可能性ステータスの監視を使用して、ネットワーク・サービスの存在と、関連するルーティングおよびセキュリティ情報を推測できます。ツールへのアクセスは、信頼できるユーザーと管理者にのみ許可します。
NPA権限の詳細は、ネットワーク・モニタリング・サービスの詳細のpath-analyzer-testの項を参照してください。
既知の注意事項および制限事項
次のNPAユースケースはサポートされていません:
- 同じサブネット内にあり、プライベートIPが異なるソースおよび宛先は、誤った結果を生成します。
- サブネットのルート表にプライベートIPとして定義されたネクスト・ホップがある場合、ステータスが「ルートなし」と誤って表示されることがあります。
- LPGがテナンシ間でピアリングされている場合、パス分析のレスポンスは「不明」です。
- RPC接続がテナンシまたはリージョンをまたがる場合、パス分析のレスポンスは「不明」です。
- NPAはIPv6をサポートしていません。IPv6アドレスは、ソースまたは宛先として使用できません。IPv6ルーティングおよびセキュリティ設定は無視され、結果には影響しません。
- NPAはルーティング・ループを検出しないため、ルーティング・ループが存在する場合は、結果が不確定になるか、障害を示す可能性があります。
- VCN内ルーティングおよびインターネット・ゲートウェイ・ルーティングは、NPAではまだサポートされていないため、パス分析の結果が正しくない可能性があります。
- パス分析をリクエストしているテナンシ内のコンパートメントの数が100を超える場合、NPAは機能しません。これらのテナントでは、NPAを使用するにはサポート・リクエストを追加する必要があります。
特別なユースケース
一部のエンティティがパス分析のパス内にあり、それらがソースでも宛先でもない場合、次の動作が表示されます。これらのユースケースには、示されているソリューションを使用できます(それが使用可能である場合)。
| パス内のノード | NPAの結果 | ソリューション |
|---|---|---|
|
ネットワーク仮想アプライアンス(NVA) |
不明 |
2つのパス分析チェック(ソースからNVAに1つ、NVAから宛先に1つ)を作成します。 |
|
SNATが構成された非透過モードでデプロイされたNLB |
ルートなし |
2つのパス分析チェック(ソースからNLBに1つ、NLBから宛先に1つ)を作成します。 |
|
透過モードのネットワーク・ロード・バランサ |
不明 |
2つのパス分析チェック(ソースからNLBに1つ、NLBから宛先に1つ)を作成します。 |
|
ロード・バランサ |
ルートなし |
2つのパス分析チェック(ソースからLBに1つ、LBから宛先に1つ)を作成します。 |
|
FWaaS |
不明 |
2つのパス分析チェック(ソースからFWaaSに1つ、FWaaSから宛先に1つ)を作成します。 |
| RPCを使用したクロスリージョン |
不明 |
2つのパス分析チェック(リージョンごとに1つ)を作成します。 |
| LPGを使用したクロステナンシ |
不明 |
2つのパス分析チェック(テナンシごとに1つ)を作成します。 |
| DRG v1 |
不明 |
DRG v2にアップグレードします。 |
次の図は、パス分析を2つに分割する必要があるユースケースの1つを示しています。
ネットワーク・パス分析作業リクエスト
作業リクエストを使用して、ネットワーク・パス分析テストなどの長時間実行される操作をモニターします。このような操作を実行すると、サービスは作業リクエストを生成します。作業リクエストは、操作の進行状況の各ステップの追跡に使用できるアクティビティ・ログです。各作業リクエストには、プログラムで操作して自動化に使用できるOCID (Oracle Cloud Identifier)があります。作業リクエストは12時間保持されます。
Network Path Analyzerのタスク
ネットワーク・パス・アナライザ・ツールを使用して、次のタスクを実行できます。