Oracle Cloud Infrastructureドキュメント

仮想テスト・アクセス・ポイント

仮想テスト・アクセス・ポイント(VTAP)は、指定されたソースから選択されたターゲットにトラフィックをミラー化して、トラブルシューティング、セキュリティ分析およびデータ・モニタリングを促進する方法を提供します。

VTAPは、VTAPがミラー化するトラフィックを制御する一連のルールを含む取得フィルタを使用します。VTAPは、作成時にはデフォルトでSTOPPEDであるため、目的どおりにトラフィックをミラー化する前に「VTAPの起動」をクリックする必要があります。

VTAPの作成時に取得フィルタを作成するか、既存の取得フィルタを新しいVTAPに割り当てることができます。

VTAPソースおよびターゲット

VTAPソースは、VTAPがモニターするリソースです。このリソースのトラフィックはミラー化され、選択したターゲットに送信されます。VTAPソースおよびターゲットは、同じVCNでホストされている必要があります。これらのリソースを表示および操作するために必要な権限が付与されている場合、これらは異なるコンパートメントまたはサブネットに存在できます。VTAPソースは次のとおりです:

コンピュート・インスタンスの場合、アタッチされたVNICのOCIDを指定します。その他のソース・タイプの場合、サービス・リソースのOCIDを指定します。

ターゲットは、VTAPからミラー化されたトラフィックを受信するリソースです。VTAPターゲットは次のとおりです:

ノート

VTAPのソースまたはターゲットとして使用されているリソースが削除されると、VTAPは機能できなくなり、コンソールによってVTAPが停止状態になります。VTAPを再起動するには、欠落しているリソースを置換する新しいリソースを選択します。

この図は、VTAPのサンプル実装を示しています。

ソースとターゲットを含むVTAPを示す図。

この例では、Subnet-Aの仮想マシンが、Subnet-Bの別の仮想マシンにトラフィックを送信しています。Subnet-AのVTAPは、仮想マシンを退出するトラフィックをチェックします。このトラフィックは使用中の取得フィルタと一致するため、VTAPはトラフィックをターゲット(この場合はSubnet-Cのネットワーク・ロード・バランサ)にミラー化します。その後、バックエンド・セットでは、ミラー化されたトラフィックに対して適切な分析を実行できます。

取得フィルタおよびルール

取得フィルタ・ルールは、ソースからターゲットにミラー化されたトラフィックに含まれるものを選択します。多くのVTAPは同じ取得フィルタを使用できるため、取得フィルタのルールを変更すると、その取得フィルタを使用するすべてのVTAPに影響を与えます。取得フィルタには少なくとも1つのルールが必要であり、最大10個のルールを含めることができます。取得フィルタ・ルールは、定義した順序で調査されます。一致が見つかると、そのルールが適用されます。特定のルールで一致が見つからない場合、順序内の次のルールが評価され、一致すれば実行されます。ルールの順序を変更すると、取得フィルタの動作を変更できます。

取得フィルタでは、次のタイプの基準に基づいてアクション(パケットを含めるか除外するか)を実行できます:

  • パケットは、イングレスまたはエグレス・トラフィックの一部です
  • パケットは、特定のソースまたは宛先のIPv4 CIDRブロックまたはIPv6接頭辞を宛先とするか、そこから送信されます
  • パケットは、トラフィックで使用される特定のIPプロトコル・パラメータ(TCPまたはUDPポート範囲、ICMPICMPv6)、または任意のプロトコル(デフォルトのAllを使用)を使用します

ルールでCIDRブロック、接頭辞またはIPプロトコルが指定されていない場合、そのルールではすべてのIPアドレスまたはIPプロトコルが受け入れられます。

次に、一連のルールを構成する方法の実例を示します。目的として、10.1.0.0/16からのトラフィックは、除外する10.1.1.1以外はすべて含めます:

  1. ソースCIDR: 10.1.1.1/32、除外
  2. ソースCIDR: 10.1.0.0/16、含める
  3. ソースCIDR: 10.1.1.0/24、含める

取得フィルタは、定義された順序内のルールに対してトラフィックの各パケットを評価します。10.1.1.1からのパケットは、最初のルールに一致し、ミラー化されたトラフィックから除外されます。パケットは、セット内のその他のルールに対しては比較されません。ルール・セットは目的どおりに機能します。

最初のルールを順序内で3番目に移動すると、一連のルールが目的どうりに機能しなくなります:

  1. ソースCIDR: 10.1.0.0/16、含める
  2. ソースCIDR: 10.1.1.0/24、含める
  3. ソースCIDR: 10.1.1.1/32、除外

取得フィルタ・ルールは、定義された順序でトラフィックの各パケットを評価するため、この場合10.1.1.1からのパケットは最初のルールに一致し、ミラー化されたトラフィックに含まれます。それ以降のルール評価はスキップされます。この例ではCIDRブロックを使用しますが、ルールはどのソース・タイプを選択しても同じ方法で評価されます。

詳細については、Capture Filtersを参照してください。

高度なVTAP機能

VXLANネットワーク識別子(VNI): VXLANカプセル化トンネルを一意に識別するVNIを入力します。VNIを指定しない場合、自動的に生成されます。

最大パケット・サイズ: 64から9000バイトまでの最大パケット・サイズを指定できます。ターゲットでのパフォーマンスの向上または効率的な取込みのために、ミラー化されたパケットを小さい長さに切り捨てることができます。VTAPは、すべてのインスタンスNICに設定された9000バイトのMTUで動作します。ただし、VTAPのカプセル化(VxLAN)オーバーヘッドのため、VTAPソースであるインスタンスVNICのMTUは、ターゲットMTUからVTAPのカプセル化オーバーヘッドを差し引いたものを考慮する必要があります。VTAP取得パケットのパケット切捨てを回避するには、ソース・インスタンス・インタフェースのMTUがIPv4の場合は8950以下、IPv6の場合は8930以下に設定されている必要があります。すべてのターゲット・インスタンスのNICは、9000バイトのMTU (標準Oracleイメージのデフォルト)を使用するように設定する必要があります。
Note

If a VTAP is enabled on a given supported source, the overhead generated by the mirroring of packets consumes network bandwidth.ネットワーク帯域容量は、VNICがアタッチされているインスタンスの基礎となるシェイプによって決まります。VTAPはVNICに実装されます。

サービスでサポートされるネットワーク帯域幅の30%を超えて使用しており、VTAPを有効にする場合は、基礎となるサービス・シェイプをアップグレードすることをお薦めします。

または、1500以下のMTUを使用するようにVTAPを構成して全体的なパフォーマンスと帯域幅の使用率を向上させる場合、パケットの最大サイズをより小さく指定できます。

切り捨てられたミラー化パケットの場合、長さやチェックサムなどのペイロードのパケット・ヘッダー・パラメータは更新されません。

優先順位モード: このオプションを使用すると、ソースで輻輳が発生している場合に、モニター対象のトラフィックとミラー化されたトラフィックに同等の優先順位が付与されます。デフォルトでは、本番トラフィックは、VTAPのミラー化されたトラフィックよりも優先されます。優先順位モードを有効にすると、モニター対象のトラフィックとVTAPのミラー化されたトラフィックに同等の優先順位が付与されます。このオプションを選択すると、ミラー化されたトラフィックによって、ソースで輻輳が発生するたびにモニター対象のトラフィックが破棄されることがあります。このパケット損失が検出された場合、優先順位モードを無効にするか、より多くの帯域幅に対応するようにソース・シェイプをアップグレードできます。

要件および準備

VTAPを実装するには、少なくとも1つの有効なソースと1つの有効なターゲット(両方とも同じVCN内)が必要です。これらのリソースは、VTAPを作成する前に存在している必要があります。ターゲットは、ソースとは異なるサブネットに存在できます。

依存関係

VTAPの作業をするには、いくつかの重要な依存関係を理解する必要があります:

  • VTAPには、常にソース、ターゲットおよび関連付けられた取得フィルタが必要です。
  • 取得フィルタには、常に1つ以上のルールが関連付けられている必要があります。
  • VNICを複数のVTAPのソースにすることはできません。詳細は、VTAPソースおよびターゲットを参照してください。

次の予期される動作が表示されます:

  • ソースおよびターゲットを指定し、それを既存の取得フィルタに関連付けることなくVTAPを作成することはできません。VTAPに関連付ける取得フィルタを編集できます。取得フィルタが関連付けられていないVTAPを使用することはできません。
  • VTAPに関連付けられた取得フィルタを削除することはできません。1つ以上のVTAPが使用する取得フィルタを削除するには、取得フィルタを削除する前に、それらのVTAPに別の取得フィルタを関連付ける必要があります。
  • 空の取得フィルタを作成したり、ルールが含まれないように取得フィルタを編集することはできません。
  • VTAPソースまたはターゲットが削除されると、VTAPは自動的にSTOPPED状態になります。この理由で停止したVTAPを再起動するには、VTAPを編集して新しい有効なソースまたはターゲットを割り当てます。これにより、VTAPはRUNNING状態に戻ります。

必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者からポリシーでセキュリティ・アクセス権が付与されている必要があります。コンソールまたは(SDK、CLIまたはその他のツールを使用した) REST APIのどれを使用しているかにかかわらず、このアクセス権が必要です。権限がない、または認可されていないというメッセージが表示された場合は、自分がどのタイプのアクセス権を持っているか、およびどのコンパートメントで作業するかを管理者に確認してください。

管理者用: ネットワーキングに対するIAMポリシーを参照してください。

IAMリソースの制限

適用可能な制限のリストと制限の引上げをリクエストする手順は、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。

このサービスに固有の制限のリストは、「VTAPの制限」を参照してください。

検証済のOracleパートナ・ソリューション

Oracle Partner Network (OPN)の一部のメンバーは、VTAPで動作するOracle Marketplaceで利用可能なソリューションを検証しました。これらのソリューションは、VTAPを使用して、ミラー化されたトラフィックをネットワーク・ロード・バランサ・ターゲットに送信するときにデプロイできます。

ノート

VTAPでその他のソリューションを使用することもできますが、それらのソリューションはOracleによって検証されます。