Network Intelligence Service (NIS) は、安定性、セキュリティ、パフォーマンス、コスト最適化、および運用上の優秀性を検査するクラウドネットワーク診断の包括的なライブラリを提供します。NIS は、ネットワーク検査を通じてクラウドネットワークアーキテクチャの可観測性を提供し、異常を正確に検出し、最適化の提案を受け取るのに役立ちます。
シナリオ
大規模なネットワークとリソースを構築および維持する場合、クラウドプロダクトの理解が限られているために、構成がベストプラクティスから逸脱する可能性があります。構成が継続的に改善されるにつれて、ネットワークリソースインスタンスの数が増加し、これらのリソースの構成と使用状況を手動で検証することが困難になります。ネットワーク検査は、ネットワークアーキテクチャとリソース全体を調査し、最適化の提案を提供するのに役立ちます。
検査項目
リソースタイプ | 検査カテゴリ | 検査項目 | 説明 | リスクの説明 | リスクレベル | 最適化の提案 |
EIP | ネットワークの安定性 | EIP 帯域幅使用状況のチェック | 検査期間中の EIP 帯域幅の使用状況をチェックします。高い帯域幅使用率または帯域幅制限によるパケット損失の頻度をカウントします。これにより、現在のリソース帯域幅がビジネス要件を満たしているかどうかを評価し、帯域幅不足によるネットワークリスクを特定できます。 | 前回の検査期間中に、パブリック帯域幅超過が差し迫っているというリスクアラートがトリガーされました。 | 中 | EIP 帯域幅を変更します。詳細については、「サブスクリプション EIP の帯域幅を変更する」または「従量課金 EIP の帯域幅を変更する」をご参照ください。 |
パブリック帯域幅が使い果たされたため、前回の検査期間中にパケット損失アラートがトリガーされました。 | 高 | EIP 帯域幅を変更します。詳細については、「サブスクリプション EIP の帯域幅を変更する」または「従量課金 EIP の帯域幅を変更する」をご参照ください。 | ||||
EIP 実行ステータスのチェック | EIP が異常に実行されているかどうかをチェックします。 | EIP が無効または非アクティブです。 | 低 | EIP は無効または非アクティブです。EIP インスタンスが移行状態またはその他の異常な状態にあるかどうかを確認してください。 | ||
ネットワークコストの最適化 | アイドル EIP のチェック | アイドル状態の EIP をチェックします。 | EIP がインスタンスにアタッチされていません。 | 低 | EIP はインスタンスにアタッチされていませんが、それでも料金が発生します。コストを節約するには、EIP インスタンスが不要になった場合は解放します。詳細については、「EIP インスタンスを解放する」をご参照ください。 | |
NAT | ネットワークの安定性 | NAT 処理使用状況のチェック | 検査期間中の NAT Gateway の処理使用状況をチェックします。これには、同時接続、新しい接続、トラフィック処理レート、および SNAT ソースポートの過剰使用の特定が含まれます。これにより、現在のリソース構成がビジネス要件を満たしているかどうかを評価し、リソース不足によるネットワークリスクを特定できます。 | 前回の検査期間中に NAT セッション制限を超えたため、接続がドロップされました。 | 中 | NAT Gateway インスタンスタイプをアップグレードするか、課金方法を従量課金に変更します。詳細については、以下をご参照ください。 |
NAT 制限を超えたため、前回の検査期間中にドロップされた新しいセッションのアラートがトリガーされました。 | 高 | NAT Gateway インスタンスを通過するトラフィックを再割り当てするか、課金方法を従量課金に変更してトラフィック処理能力を向上させます。詳細については、以下をご参照ください。 | ||||
前回の検査期間中に、SNAT ソースポートの割り当てに失敗したというアラートがトリガーされました。 | 高 | SNAT ルールのアドレスプール内の EIP の数を増やします。詳細については、「インターネット NAT Gateway」をご参照ください。 | ||||
CEN | ネットワークの安定性 | リージョン間帯域幅使用状況のチェック | 検査期間中の CEN リージョン間帯域幅の使用状況をチェックします。高い帯域幅使用率または帯域幅制限によるパケット損失の頻度をカウントします。これにより、現在のリソース帯域幅がビジネス要件を満たしているかどうかを評価し、帯域幅不足によるネットワークリスクを特定できます。 | 前回の検査期間中に、リージョン間接続帯域幅制限を超えたため、パケット損失アラートがトリガーされました。 | 高 | リージョン間接続帯域幅をアップグレードします。 |
リージョン間接続のトラフィックリルートキューでのレート制限により、パケットがドロップされました。 | 高 | リージョン間接続帯域幅をアップグレードするか、リージョン間接続のトラフィックリルート構成を調整します。 | ||||
TR 接続高可用性チェック | トランジットルーター (TR) に接続されたネットワークインスタンスの高可用性の欠如が、障害発生時にサービスが利用できなくなる可能性がある潜在的なリスクをチェックします。高可用性を実現するためのベストプラクティスは、ネットワークインスタンスが接続された後、TR の下に冗長リンクが構成されていることを確認することです。 | VPC は、単一ゾーンのリソースのみを使用して TR に接続されています。このゾーンで障害が発生した場合、別のゾーンへの切り替えは不可能であり、サービス障害を引き起こす可能性があります。 | 高 | 高可用性を実現するには、VPC をトランジットルーターに接続した後、トランジットルーターの下に冗長リンクが構成されていることを確認します。VPC 接続を作成するときは、Enterprise Edition トランジットルーターでサポートされている各ゾーンに vSwitch を指定します。これにより、VPC 接続のゾーンレベルのディザスタリカバリが提供され、トラフィックの迂回が減少します。 | ||
TR ルート構成リスクチェック | 現在の TR ルーティング構成のリスクをチェックし、最適化の提案を提供します。 | Basic Edition TR のルートテーブル内のルート数がクォータの 80% に達しました。クォータを超えると、TR ルートテーブルに新しいルートを追加できなくなり、ネットワーク切断が発生する可能性があります。 | 中 | Enterprise Edition トランジットルーターにアップグレードすることをお勧めします。Basic Edition と比較して、Enterprise Edition は 40,000 のルートエントリのクォータと、カスタムルートテーブルやフローログなどの豊富な機能を提供します。 | ||
VPC から TR への接続ルートリスクチェック | VPC が TR に接続されている場合のルートアクセスの競合とリスクをチェックし、構成の最適化の提案を提供します。 | 同じ CEN に接続されている VPC のプライベート CIDR ブロックが重複しています。これにより、CEN でルートの競合が発生する可能性があります。 | 中 | 同じ CEN に追加される VPC と vSwitch が重複しない CIDR ブロックを使用するように、VPC CIDR ブロックを計画します。 | ||
VPC 接続帯域幅使用状況のチェック | 検査期間中の CEN VPC 接続帯域幅の使用状況をチェックします。帯域幅制限によるパケット損失の頻度をカウントします。これにより、現在のリソース帯域幅がビジネス要件を満たしているかどうかを評価し、帯域幅不足によるネットワークリスクを特定できます。 | 前回の検査期間中に、VPC 接続帯域幅制限を超えたため、パケット損失アラートがトリガーされました。 | 高 | VPC 接続のフローログ機能を有効にし、フローログを使用してサービストラフィックの割合が期待どおりかどうかを分析することをお勧めします。 | ||
VPN | ネットワークの安定性 | VPN 使用制限チェック | 検査期間中の VPN サービスの使用状況をチェックします。帯域幅超過リスクと BGP 動的ルーティング伝播制限超過の頻度をカウントします。これにより、VPN サービスの正常性を評価し、リソース構成の不足によるネットワークリスクを特定できます。 | 前回の検査期間中に、BGP 動的ルーティング制限を超えたというリスクアラートがトリガーされました。 | 高 | これをモニターします。制限を超えた場合は、ネットワーク計画に基づいてピア VPN デバイスでルート集約を実行します。 |
前回の検査期間中に、VPN 帯域幅制限を超えたというリスクアラートがトリガーされました。 | 中 | このリンクのインスタンス帯域幅がビジネス要件を満たしているかどうかを確認します。帯域幅が不足している場合は、VPN 帯域幅仕様をアップグレードするか、新しいインスタンスを購入して VPN 帯域幅を増やすことをお勧めします。それ以外の場合は、このアラートを無視できます。 | ||||
VPN 冗長性チェック | VPN 冗長性構成をチェックします。 | VPN 接続の 2 つのトンネルの 1 つがネゴシエーションに失敗したため、ゾーンレベルの高可用性が失敗しました。 | 高 | インスタンスのすべてのトンネルとピアデバイスの間に IPsec-VPN 接続を確立して、ゾーンレベルの高可用性を復元します。詳細については、「IPsec-VPN 接続 (VPN Gateway)」をご参照ください。 | ||
VPN インスタンスは単一ゾーンにデプロイされており、マルチゾーンのディザスタリカバリ機能がありません。これは重大なリスクをもたらします。 | 高 | VPN インスタンスについては、AZ 高可用性を有効にし、デュアルトンネルを有効にします。 | ||||
ALB | ネットワークの安定性 | ALB 仮想 IP 処理使用状況チェック | 検査期間中の ALB 仮想 IP アドレス (VIP) の負荷をチェックします。これには、セッション、接続、QPS、および帯域幅の負荷の特定が含まれます。これにより、現在のリソース構成がビジネス要件を満たしているかどうかを評価し、リソース不足によるネットワークリスクを特定できます。 | ALB セッション制限を超えたため、前回の検査期間中に新しい接続が失われたというアラートがトリガーされました。 | 高 | ALB ドメイン名から解決された単一の VIP には、新しい接続に制限があります。ドメイン名解決のために CNAME レコードを構成して ALB を使用します。詳細については、「ALB インスタンスの CNAME 解決を構成する」をご参照ください。 |
前回の検査期間中に、ALB QPS 制限を超えたというアラートがトリガーされました。 | 高 | ALB ドメイン名から解決された単一の VIP には QPS 制限があります。ドメイン名解決のために CNAME レコードを構成して ALB を使用します。詳細については、「ALB インスタンスの CNAME 解決を構成する」をご参照ください。 | ||||
ALB プライベート帯域幅制限を超えたため、前回の検査期間中にパケット損失アラートがトリガーされました。 | 高 | ALB ドメイン名から解決された単一の VIP には帯域幅制限があります。ドメイン名解決のために CNAME レコードを構成して ALB を使用します。詳細については、「ALB インスタンスの CNAME 解決を構成する」をご参照ください。 | ||||
ALB 高可用性デプロイメントチェック | ALB リスナーの下のバックエンドサーバーが複数のゾーンにデプロイされているかどうかをチェックして、リスナーサービスの可用性を確保します。 | ALB リスナーの複数のバックエンドサーバーが単一のゾーンにデプロイされています (デフォルトの転送サーバーグループの場合)。 | 中 | ALB リスナーの現在のデプロイメントアーキテクチャには、ゾーンレベルのリスクがあります。ゾーンレベルの障害が発生した場合、サービスは利用できなくなります。リスナーと転送ルールのバックエンドサーバーを 2 つ以上のゾーンにデプロイして、障害の爆発半径を減らします。ゾーン間でサーバーを移行するには、移行ガイドをご参照ください。 | ||
NLB | ネットワークの安定性 | NLB 仮想 IP 処理使用状況チェック | 検査期間中の NLB VIP の負荷をチェックします。これには、新しい接続と同時接続の負荷の特定が含まれます。これにより、現在のリソース構成がビジネス要件を満たしているかどうかを評価し、リソース不足によるネットワークリスクを特定できます。 | 前回の検査期間中に、NLB 接続の失敗が急増したというアラートがトリガーされました。 | 高 | 考えられる原因:
|
前回の検査期間中に、新しい NLB 接続がドロップされたというアラートがトリガーされました。 | 高 | 考えられる原因:
| ||||
前回の検査期間中に、NLB の新しい接続制限を超えたというアラートがトリガーされました。 | 高 | 単一の NLB VIP の自動スケーリング制限を超え、新しい接続リクエストが継続的にドロップされます。ワークロードを複数の NLB インスタンスに分割するか、アカウントマネージャーに連絡してクォータの増加をリクエストしてください。 | ||||
前回の検査期間中に、NLB の同時接続制限を超えたというアラートがトリガーされました。 | 高 | 単一の NLB VIP の自動スケーリング制限を超え、新しい接続リクエストが継続的にドロップされます。ワークロードを複数の NLB インスタンスに分割するか、アカウントマネージャーに連絡してクォータの増加をリクエストしてください。 | ||||
NLB 高可用性デプロイメントチェック | NLB リスナーの下のバックエンドサーバーが複数のゾーンにデプロイされているかどうかをチェックして、リスナーサービスの可用性を確保します。 | NLB リスナーの複数のバックエンドサーバーが単一のゾーンにデプロイされています。 | 中 | NLB リスナーの現在のデプロイメントアーキテクチャには、ゾーンレベルのリスクがあります。ゾーンレベルの障害が発生した場合、サービスは利用できなくなります。リスナーのバックエンドサーバーを 2 つ以上のゾーンにデプロイして、障害の爆発半径を減らします。ゾーン間でサーバーを移行するには、移行ガイドをご参照ください。 | ||
CLB | ネットワークの安定性 | CLB 処理使用状況チェック | 検査期間中の CLB インスタンスの負荷をチェックします。これには、セッション、接続、および帯域幅の負荷の特定が含まれます。これにより、現在のリソース構成がビジネス要件を満たしているかどうかを評価し、リソース不足によるネットワークリスクを特定できます。 | CLB 帯域幅制限を超えたため、前回の検査期間中にパケット損失アラートがトリガーされました。 | 高 | CLB インスタンスの帯域幅をアップグレードします。詳細については、「従量課金 CLB インスタンスのアップグレードまたはダウングレード」をご参照ください。 |
CLB セッション制限を超えたため、前回の検査期間中に新しい接続が失われたというアラートがトリガーされました。 | 高 | CLB インスタンスをアップグレードするか、CLB インスタンスを ALB または NLB インスタンスに移行します。詳細については、以下をご参照ください。 | ||||
前回の検査期間中に、CLB 接続の失敗が急増したというアラートがトリガーされました。 | 高 | この問題の一般的な原因には、バックエンドサーバーの仕様超過、高負荷、またはサービスの異常が含まれます。バックエンドサービスのステータスを確認してください。 | ||||
VBR | ネットワークの安定性 | BGP 接続ステータスチェック | 検査期間中の専用回線の BGP 接続の実行ステータスをチェックします。専用接続ポートの異常の頻度をカウントします。これにより、キャリアの専用回線リンクの品質をモニターし、安定性のリスクを迅速に検出できます。 | 前回の検査期間中に BGP 接続障害がトリガーされました。 | 高 | キャリアに連絡して、Express Connect 回線に異常がないか確認してください。 |
Express Connect 回線ポートチェック | 検査期間中の Express Connect 回線ポートの実行ステータスをチェックします。BGP 接続の異常の頻度をカウントします。これにより、キャリアの専用回線リンクの品質をモニターし、安定性のリスクを迅速に検出できます。 | 前回の検査期間中に、専用接続ポートまたはリンク障害のアラートがトリガーされました。 | 高 | キャリアに連絡して、Express Connect 回線に異常がないか確認してください。 | ||
VBR 静的ルートヘルス構成チェック | VBR 接続にヘルスチェックが構成されているかどうかをチェックします。 | VBR を指す静的ルートが CEN に構成されていますが、対応するヘルスチェックが CEN に構成されていません。 | 高 | VBR を CEN に接続した後、CEN のヘルスチェック機能を使用して、関連する Express Connect 回線の接続性をプローブできます。CEN インスタンスとデータセンターに冗長ルートがある場合、Express Connect 回線に障害が発生した場合、システムは利用可能なルートに自動的にフェイルオーバーできます。これにより、ビジネスが中断されないことが保証されます。 | ||
VBR アップリンクにヘルスチェックが構成されていません。 | 高 | 冗長な Express Connect 回線を使用してオンプレミスのデータセンターを VPC に接続する場合は、オンプレミスのデータセンターと Alibaba Cloud 側でヘルスチェックを構成して、Express Connect 回線の接続性をモニターすることをお勧めします。Express Connect 回線の 1 つが異常と検出された場合、システムは期待どおりに動作している別の Express Connect 回線を介してネットワークトラフィックを自動的にルーティングします。 | ||||
VBR 冗長性チェック | VBR 冗長性構成の完全性をチェックして、専用回線シナリオの安定性リスクを特定します。 | VPC から VBR への冗長回線が構成されていません。 | 低 | VPC から VBR への冗長回線が構成されていません。必要に応じて回線冗長ソリューションを選択できます。詳細については、「VBR を介してオンプレミスデータセンターをクラウドに接続する」をご参照ください。 | ||
VPC から VBR への一部の CIDR ブロックに対して冗長回線が構成されていません。 | 低 | 冗長性のないルート CIDR ブロックにサービストラフィックがあるかどうかを確認します。ある場合は、冗長回線を構成します。必要に応じて回線冗長ソリューションを選択できます。詳細については、「VBR を介してオンプレミスデータセンターをクラウドに接続する」をご参照ください。 | ||||
TR から VBR への一部の CIDR ブロックに対して冗長回線が構成されていません。 | 低 | 冗長性のないルート CIDR ブロックにサービストラフィックがあるかどうかを確認します。ある場合は、冗長回線を構成します。必要に応じて回線冗長ソリューションを選択できます。詳細については、「ECR を介してオンプレミスデータセンターをクラウドに接続する」をご参照ください。 | ||||
TR から VBR への冗長回線が構成されていません。 | 低 | TR から VBR への冗長回線が構成されていません。必要に応じて回線冗長ソリューションを選択できます。詳細については、「ECR を介してオンプレミスデータセンターをクラウドに接続する」をご参照ください。 | ||||
PrivateLink | ネットワークの安定性 | PrivateLink エンドポイント高可用性デプロイメントチェック | PrivateLink は、ユーザーが VPC 内およびオンプレミスのデータセンターから、プライベートネットワークを介して他の VPC にデプロイされたサービスに安全かつ安定してアクセスするのに役立ちます。このチェックでは、PrivateLink インターフェイスエンドポイントとエンドポイントサービスが複数のゾーンにデプロイされているかどうかを検証し、サービスアクセスの高可用性を確保します。 説明 このチェックでは、インターフェイスエンドポイントからエンドポイントサービスへのリンクのゾーンレベルの高可用性リスクのみを検査できます。インターフェイスエンドポイントを介してアクセスされるサービス自体のゾーンレベルの高可用性リスクを判断することはできません。 | インターフェイスエンドポイントインスタンスは単一ゾーンにあります。 | 高 | インターフェイスエンドポイントインスタンスに新しいゾーンを追加して、マルチゾーンのディザスタリカバリを確保します。詳細については、「エンドポイント ENI の作成と管理」をご参照ください。 説明 1 つのゾーンに 1 つのエンドポイント ENI を含むインターフェイスエンドポイントインスタンスは、課金対象のインスタンスです。ゾーンを追加すると、コストが増加します。 |
PrivateLink エンドポイントサービス高可用性デプロイメントチェック | エンドポイントサービスインスタンスは単一ゾーンにあります。 | 高 | エンドポイントサービスにサービスリソースを追加して、複数のゾーンでサービスを提供できるようにします。 |
ネットワーク検査レポートの表示
デフォルトでは、Network Intelligence Service は無料の基本ネットワーク検査タスクを有効にします。このタスクは、週に 1 回包括的なネットワーク検査を実行し、レポートを提供します。カスタムネットワーク検査タスクの作成はサポートされていません。
検査レポートは 1 年間保持されます。
NIS コンソールにログインします。
左側のナビゲーションウィンドウで、[ネットワーク検査] を選択します。
[ネットワーク検査] ページで、デフォルトのタスクを見つけて、次の操作を実行します。
最新の検査レポートの詳細を表示する
[最新の検査レポート] 列で、View the report to obtain network optimization suggestions>> をクリックします。
検査レポートの詳細ページで、[基本情報]、[検査の概要]、および [検査の詳細] セクションを表示できます。
[検査の詳細] ページで、異常な結果、最適化の提案、および影響を受けるリソースを確認できます。
履歴レポートの詳細を表示する
[最新の検査レポート] 列で、View historical reports>> をクリックします。
[履歴検査レポート] ページの [履歴レポート] セクションで、ターゲットレポートを見つけ、そのレポート ID または [アクション] 列の [レポートの表示] をクリックします。
検査レポートの詳細ページで、[基本情報]、[検査の概要]、および [検査の詳細] を表示できます。
[検査の詳細] ページで、異常な結果、最適化の提案、および影響を受けるリソースを確認できます。
ネットワーク検査タスクの管理
ネットワーク検査タスクの再実行
リソースが変更された場合は、ネットワーク検査タスクを再実行できます。開始する前に、検査タスクが [有効] になっていることを確認してください。
[ネットワーク検査] ページで、対象のネットワーク検査タスクを見つけ、[最新の検査レポート] 列の View the report to obtain network optimization suggestions>> をクリックします。検査レポートの詳細ページで、右上隅にある [検査の再実行] をクリックします。
ネットワーク検査タスクの無効化または有効化
[ネットワーク検査] ページで、デフォルトのネットワーク検査タスクを見つけ、[アクション] 列の [検査の無効化] または [検査の有効化] をクリックします。
ネットワーク検査タスクの削除
検査タスクを削除する前に、無効にする必要があります。ネットワーク検査タスクを削除すると、そのレポートも削除されます。
[ネットワーク検査] ページで、デフォルトのネットワーク検査タスクを見つけ、[アクション] 列の [削除] をクリックします。