ネットワークトラフィックを監視する従来の方式では、インスタンスにログインしてパケットをキャプチャしたり、監視エージェントをデプロイしたりすると、システムリソースを消費し、サービスパフォーマンスが低下します。VPC トラフィックミラーは、サービストラフィックに干渉しないバイパス監視ソリューションを提供します。この機能は、トラフィックがフィルター条件に一致する場合、指定された弾力性ネットワークインターフェース (ENI) に出入りするトラフィックをコピーして転送します。コピーされたトラフィックは、リアルタイム検出のためにセキュリティ分析デバイスに送信されます。
一般的なユースケース:
セキュリティ: 侵入検知
トラフィックミラーリングを使用して、特定のストリームのすべてのデータパケットを取得します。自社開発またはサードパーティのセキュリティソフトウェアを使用して包括的な検査を実行し、潜在的な脆弱性や侵入脅威をリアルタイムで特定します。これにより、攻撃を迅速に検査し、対応できます。
監査: 金融または政府のコンプライアンス
高い金融またはセキュリティのコンプライアンス要件を持つビジネスの場合、トラフィックミラーリングを使用して、インスタンスのトラフィックを統合監査プラットフォームに透過的にミラーリングし、分析して監査要件を満たします。
運用保守 (O&M): ネットワーク問題の特定
ネットワーク問題を確認します。O&M エンジニアは、TCP 再送の分析など、転送されたコンテンツを表示して、ECS インスタンスにログインしてパケットをキャプチャすることなく問題をトラブルシューティングできます。
仕組み
ワークフロー
ミラーセッションは、ミラーソースと送信先の間で転送パスを確立します。セッションが開始されると、トラフィックミラー機能は次の操作を実行します。
フィルター条件に一致するミラーソースからのサービスパケットをコピーします。
現在、ミラーソースとしては ENI のみがサポートされています。
トラフィックミラーフィルターには、インバウンドルールとアウトバウンドルールが含まれます。送信元 CIDR ブロック、送信元ポート、宛先 CIDR ブロック、宛先ポート、およびプロトコルの種類で構成される 5 次元ルールは、ENI によって受信または送信されるトラフィックを優先度に基づいてフィルタリングするために使用されます。
コピーされたパケットを 標準 VXLAN パケット形式でカプセル化します。
VXLAN ネットワーク識別子 (VNI): ミラーセッションに割り当てられた仮想ネットワーク ID で、異なるセッションからのミラーリングされたデータを区別するために使用されます。空のままにすると、システムがランダムに割り当てます。
送信元 IP: ミラーソースのプライマリ IP。
送信元ポート: パケットの 5 次元ルールのハッシュ値によって決定されます。
宛先 IP: ミラーターゲットのプライマリ IP。
宛先ポート: デフォルトではポート 4789 が使用され、変更できません。
ミラーリングされたパケットを到達可能なミラーターゲットに転送します。ミラーターゲットとソースが同じ VPC にない場合、ソースと送信先を接続するために VPC ピアリング接続を構成する必要があります。
現在、ミラーターゲットとしては、ENI、内部向けクラシックロードバランサー (CLB)、およびゲートウェイロードバランサー (GWLB) エンドポイントがサポートされています。
GWLB エンドポイントへのトラフィック転送をサポートするリージョンは、中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (フフホト)、中国 (深セン)、シンガポール、米国 (シリコンバレー)、および米国 (バージニア州)です。
ミラーソースからコピーされたパケットは、セキュリティグループやネットワーク ACL によって制限されません。ただし、ミラーリングされたパケットが送信先に転送される際、送信先のセキュリティグループとネットワーク ACL で、送信元 UDP パケットが送信先のポート 4789 にアクセスすることを許可するインバウンドルールを構成する必要があります。
内部向け CLB を送信先として使用する場合、ポート 4789 で UDP リスナーを構成する必要があります。GWLB は、すべてのデータパケットに対してすべてのポートでリッスンします。
マッチングルール
同じ送信元からの同じパケットは、1 回のみミラーリングされます。
送信元のインバウンドトラフィックを例にとります。
ミラーソースが 1 つのセッションにのみ追加されている場合、関連付けられたトラフィックミラーフィルターのインバウンドルールが評価されます。システムは優先度順にルールをチェックし、トラフィックの 5 次元ルールに一致するものを検索します。最初の一致するルールが見つかると、指定されたポリシーが実行されます。ルールが一致しない場合、トラフィックはミラーリングされません。
ミラーソースが複数のセッションに追加されている場合、関連付けられたトラフィックミラーフィルターのインバウンドルールは、セッションの優先度に基づいて評価されます。現在のセッションのフィルターでルールが一致しない場合、システムは次に優先度の高いセッションのフィルターに進みます。このプロセスは、一致が見つかり、対応するポリシーが実行されるまで続きます。どのセッションのインバウンドルールも一致しない場合、トラフィックはミラーリングされません。
送信先で受信されるパケット長
フラグメント化されたサービスパケットのミラーリング動作
元のサービスパケットの長さがリンク最大転送ユニット (MTU) を超える場合、パケットは転送のためにフラグメント化されます。
たとえば、サービスパケットの長さが 2,000 バイトで、リンク MTU が 1500 バイトの場合、パケットは 1,500 バイトと 500 バイトの 2 つの部分にフラグメント化されます。
Alibaba Cloud ネットワークのデフォルトのリンク MTU は 1,500 バイトです。ただし、VPN ゲートウェイなど、一部のネットワークコンポーネントの MTU は 1,500 バイト未満です。
ミラーソースがアタッチされている ECS インスタンスで TCP セグメンテーションオフロード (TSO) または UDP フラグメンテーションオフロード (UFO) が有効になっている場合、フラグメント化されたサービスパケットのミラーリング動作が異なる場合があります。ミラーターゲットがすべてのフラグメント化されたサービスパケットのミラーリングされたパケットを受信するようにしたい場合は、インスタンスパフォーマンスに影響を与える可能性がある TSO と UFO を無効にするか、第7世代 インスタンスファミリー以降の ECS インスタンスを使用することを推奨します。
インスタンスが第7世代であるかどうかは、インスタンスファミリー名の番号 (例: ecs.g7se.xlarge) に基づいて判断できます。
ミラーリングされたパケットの切り捨て: ミラーリングされたパケット (元のパケットと 50 バイトの VXLAN ヘッダー) の長さが転送パスの MTU を超える場合、システムはミラーリングされたパケットを切り捨てます。
中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (フフホト)、中国 (深セン)、シンガポール、米国 (シリコンバレー)、および米国 (バージニア)リージョンでは、ミラーターゲットによって受信されるミラーリングされたパケットの長さは、ミラーターゲットの MTU によって制限されます。現在、Alibaba Cloud の第8世代プライマリインスタンスファミリーは、MTU が 8500 のジャンボフレームをサポートしています。ミラーリングされたパケットが切り捨てられるのを防ぐために、ミラーターゲットでジャンボフレームを有効にすることを推奨します。
サービスパケット長が 1500 バイトの場合、ミラーターゲットの MTU が 1500 バイトであると、システムはミラーリングされたパケットを切り捨てます。ミラーターゲットでジャンボフレーム (MTU 8500 バイトをサポート) が有効になっている場合、ミラーリングされたパケットは完全に転送できます。
サービスパケット長
500
1500
1500
ミラーターゲットの MTU
1500
1500
8500
ミラーターゲットで受信されるミラーリングされたパケットのサイズ
550 = 500 (実際のミラーリングされたサービスパケット長) + 50 (VXLAN ヘッダー長)
1500 = 1450 (実際のミラーリングされたサービスパケット長) + 50 (VXLAN ヘッダー長)
1550 = 1500 (実際のミラーリングされたサービスパケット長) + 50 (VXLAN ヘッダー長)
他のリージョンでは、ミラーターゲットによって受信されるミラーリングされたパケットの長さは、デフォルトのリンク MTU (1500 バイト) によって制限されます。
特定の長さのミラーリングされたパケットのヘッダーのみを表示する必要がある場合は、イメージメッセージの長さ を設定できます。システムは、ミラーソースからのサービスパケットのうち、この値を超える部分を切り捨ててから、ミラーターゲットに転送します。
制限事項
ミラーソースと送信先: 同じ ENI をミラーソースとミラーターゲットの両方として使用することはできません。マネージド ENI は、ミラーソースまたは送信先としてサポートされていません。
アカウントとリージョン: 単一の VPC 内または同じ Alibaba Cloud アカウントとリージョン内の複数の VPC 間でミラーソースと送信先を構成できます。リージョン間またはアカウント間のシナリオはサポートされていません。
IP バージョン: トラフィックミラーは IPv4 ネットワークトラフィックのミラーリングをサポートしています。IPv6 はサポートされていません。
帯域幅: トラフィックミラーはインスタンス帯域幅を消費しますが、追加のスロットリングの対象ではありません。インスタンス帯域幅が最大容量に達した場合、サービストラフィックの転送を優先するためにミラーリングされたパケットは破棄されます。
トラフィックタイプ: トラフィックミラーは、ネットワーク ACL またはセキュリティグループによって破棄されたトラフィック、フローログトラフィック、アドレス解決プロトコル (ARP) トラフィック、または動的ホスト構成プロトコル (DHCP) トラフィックのミラーリングをサポートしていません。
トラフィックミラーの作成または削除
システムは、ミラーソースを出入りするサービストラフィックを、関連付けられたトラフィックミラーフィルター内のルールに対して評価します。ルールの一致は、優先度、プロトコルタイプ、送信元の CIDR ブロック、宛先 CIDR ブロック、送信元ポート、および宛先ポートによって決定されます。一致が発生した場合、システムは指定された操作を実行して、トラフィックをミラーリングするかどうかを判断します。ミラーリングされたデータは、その後、ミラーターゲットにコピーおよび転送されます。
優先度は、ルールの優先順位を決定します。 値は 1~16777216 の範囲です。 値が小さいほど、優先度が高くなります。 同一のトラフィックミラーフィルター内のインバウンドルールまたはアウトバウンドルールの優先度は、一意である必要があります。
プロトコルタイプが[TCP(6)]または[UDP(17)]の場合、ポート範囲を調整できます。値の範囲は 0~65535 です。フォーマットは
start port/end portです。他のプロトコルタイプを選択した場合、ポート範囲は設定できません。デフォルト値は[-1/-1]で、これはポートが制限されていないことを示します。
コンソール
トラフィックミラーを初めて使用する場合、サービスをアクティブ化する必要があります。トラフィックミラーアクティベーションページにログインし、指示に従ってください。
トラフィックミラーの作成
フィルター条件の作成
要件を満たす既存のトラフィックミラーフィルターがある場合、このステップをスキップして直接ミラーセッションを作成できます。
VPC コンソール - フィルター ページに移動します。 上部のナビゲーションバーで、トラフィックミラーを作成するリージョンを選択します。 フィルターの作成 をクリックします。
インバウンドルールとアウトバウンドルールを構成して、ミラーソースからコピーされ、ミラーターゲットに転送されるトラフィックを指定します。トラフィックミラーフィルターにルールが含まれていない場合、トラフィックはミラーリングされません。
トラフィックミラーフィルターを作成する際、最大 10 個のインバウンドルールと 10 個のアウトバウンドルールを構成できます。トラフィックミラーフィルターが作成された後、インバウンドルールとアウトバウンドルールを追加、編集、または削除できます。
トラフィックミラーフィルターを削除するには、そのフィルターがいずれのミラーセッションにも関連付けられていないことを確認してください。関連付けられている場合は、まずそのトラフィックミラーフィルターをミラーセッションから関連付けを解除し、その後、対象のトラフィックミラーフィルターの削除を操作列でクリックします。
ミラーセッションの作成
「VPC コンソール - トラフィックミラーセッション」ページへ移動します。トップナビゲーションバーで、トラフィックミラーを作成するリージョンを選択します。「ミラーリングされたセッションの作成」をクリックします。
ミラーセッションを構成します。
VNI: ミラーセッションに割り当てられる仮想ネットワークIDです。異なるセッションからのミラーリングされたデータを区別するために使用されます。有効な値: 0~16777215。VNI を指定しない場合、システムがランダムに割り当てます。
優先度:ミラーソースが複数のミラーセッションに追加された場合、トラフィックはミラーセッションの 優先度 に基づいて送信先にミラーリングされます。 有効な値は 1 ~ 32766 です。 値が小さいほど、優先度が高くなります。 同一リージョン内の同一アカウントで作成されたミラーセッションの優先度は、一意である必要があります。
特定の長さのミラーされたパケットのヘッダーのみを表示する必要がある場合、イメージメッセージの長さ を設定できます。システムは、ミラーソースから受信したサービスパケットのうち、この値を超える部分を切り捨て、その後、ミラーターゲットに転送します。
関連付けられたトラフィックミラーフィルター、ミラーソース、およびミラーターゲットを構成します。
ミラーセッションの開始
ミラーセッションを作成した後、有効化します。または、セッションの一覧に戻り、そのセッションの操作列で 起動 をクリックできます。
ミラーソースにフィルター条件に一致するトラフィックがある場合、ミラーターゲットで
tcpdump -i ミラーターゲットに対応する NIC の名前 udp port 4789 -nneコマンドを実行して、受信したミラーリングされたパケットを確認できます。
トラフィックミラーの変更
対象のミラーセッションの詳細ページで、変更 ミラーターゲットおよびトラフィックミラーフィルター、追加 または 削除 ミラーソース、またはミラーセッションの VNI、優先度、およびミラーリングされたパケット長を変更できます。
ミラーセッションの停止または削除
対象のミラーセッションの操作列で、停止または削除をクリックします。
API
トラフィックミラーの作成
トラフィックミラーリングを初めて使用する前に、OpenTrafficMirrorService 操作を呼び出してサービスをアクティブ化する必要があります。
CreateTrafficMirrorFilter 操作を呼び出して、トラフィックミラーフィルターを作成します。
CreateTrafficMirrorFilterRules 操作を呼び出して、トラフィックミラーフィルターのインバウンドルールまたはアウトバウンドルールを作成します。
CreateTrafficMirrorSession 操作を呼び出して、ミラーセッションを作成します。
UpdateTrafficMirrorSessionAttribute 操作を呼び出し、
Enabledパラメーターをtrueに設定して、ミラーセッションを開始します。
トラフィックミラーの変更
AddSourcesToTrafficMirrorSession または RemoveSourcesFromTrafficMirrorSession 操作を呼び出して、ミラーセッションにミラーソースを追加または削除します。
UpdateTrafficMirrorSessionAttribute 操作を呼び出して、ミラーセッションの構成を変更したり、ミラーターゲットまたはトラフィックミラーフィルターを変更したりします。
フィルター条件の変更または削除
CreateTrafficMirrorFilterRules 操作を呼び出して、トラフィックミラーフィルターのインバウンドルールまたはアウトバウンドルールを作成します。
DeleteTrafficMirrorFilterRules 操作を呼び出して、トラフィックミラーフィルターのインバウンドルールまたはアウトバウンドルールを削除します。
DeleteTrafficMirrorFilter 操作を呼び出して、トラフィックミラーフィルターを削除します。
トラフィックミラーの停止または削除
UpdateTrafficMirrorSessionAttribute 操作を呼び出し、
Enabledパラメーターをfalseに設定して、ミラーセッションを停止します。DeleteTrafficMirrorSession 操作を呼び出して、ミラーセッションを削除します。
Terraform
この例では、ミラーソースに出入りする TCP トラフィックのみをミラーリングします。ミラーリングしたいトラフィックに基づいて、トラフィックミラーフィルターのインバウンドルールとアウトバウンドルールを構成する必要があります。
リソース: alicloud_vpc_traffic_mirror_filter、alicloud_vpc_traffic_mirror_session
# Specify the region where you want to create the traffic mirror.
provider "alicloud" {
region = "cn-hangzhou"
}
# Specify the ID of the traffic mirror source.
variable "traffic_mirror_source_id" {
default = "eni-hp3e******" # Replace with the actual ID of the ENI.
}
# Specify the ID of the traffic mirror destination.
variable "traffic_mirror_target_id" {
default = "eni-hp3h******" # Replace with the actual ID of the ENI.
}
# Create a traffic mirror filter and configure inbound and outbound rules to collect all TCP traffic that enters and leaves the traffic mirror source.
resource "alicloud_vpc_traffic_mirror_filter" "example_vpc_traffic_mirror_filter" {
traffic_mirror_filter_name = "example_vpc_traffic_mirror_filter_name"
egress_rules {
priority = 1
protocol = "TCP"
action = "accept"
destination_cidr_block = "0.0.0.0/0"
destination_port_range = "-1/-1"
source_cidr_block = "0.0.0.0/0"
source_port_range = "-1/-1"
}
ingress_rules {
priority = 1
protocol = "TCP"
action = "accept"
destination_cidr_block = "0.0.0.0/0"
destination_port_range = "-1/-1"
source_cidr_block = "0.0.0.0/0"
source_port_range = "-1/-1"
}
}
# Create a traffic mirror session.
resource "alicloud_vpc_traffic_mirror_session" "example_vpc_traffic_mirror_session" {
traffic_mirror_session_name = "example_vpc_traffic_mirror_session"
priority = 1 # Specify the priority of the traffic mirror session. If a traffic mirror source is added to multiple traffic mirror sessions, the traffic is mirrored to a destination based on the priority of the traffic mirror sessions. Valid values: 1 to 32766. A smaller value indicates a higher priority. The priorities of traffic mirror sessions created in the same region with the same account must be unique.
virtual_network_id = 10 # Specify the VNI of the traffic mirror session. It is used to distinguish mirrored data from different sessions. Valid values: 0 to 16777215. If you do not specify a VNI, the system randomly assigns one.
traffic_mirror_filter_id = alicloud_vpc_traffic_mirror_filter.example_vpc_traffic_mirror_filter.id # Specify the associated traffic mirror filter.
traffic_mirror_source_ids = [var.traffic_mirror_source_id] # Specify the traffic mirror source.
traffic_mirror_target_type = "NetworkInterface" # Specify the type of the traffic mirror destination.
traffic_mirror_target_id = var.traffic_mirror_target_id # Specify the traffic mirror destination.
#packet_length = 1500 # If you only need to view the header of a mirrored packet of a specific length, you can set the mirrored packet length. The system truncates the part of the service packet from the traffic mirror source that exceeds this value and then forwards it to the traffic mirror destination.
}例
ENI への TCP インバウンドトラフィックのミラー
異なる送信先への TCP/UDP インバウンドトラフィックのミラー
VPC 外部から別の VPC へのトラフィックのミラー
VPC 外部からのトラフィックおよび VPC を離れるトラフィックをモニターするため、トラフィックミラーフィルターを設定します。
たとえば、ルールの優先度を活用して、VPC の CIDR ブロック内から発生するトラフィックはミラー対象外とし、それ以外のすべてのインバウンドトラフィックのみをミラーするフィルターを作成できます。
ミラーターゲットとミラーソースが異なる VPC に配置されている場合、デフォルトで相互に分離されています。そのため、ソースから送信先へ到達可能にするには、VPC ピアリング接続 を使用し、両方の VPC でルートを設定する必要があります。
詳細情報
課金
課金対象項目
トラフィックミラーリング料金 = インスタンス料金 + データ処理料金
インスタンス料金 = アクティブセッションが存在するミラーソースの数(個) × セッションのアクティブ時間(時間) × インスタンス料金の単価 (USD/個/時間)
データ処理料金 = ミラーリングされたデータの合計量(GB) × 単価 (USD/GB)
課金対象項目 | 単価 |
インスタンス料金 | 0.014(USD/個/時間) |
データ処理料金 | 0.007(USD/GB) |
課金ルール
データ処理料金は、2027 年 3 月 31 日までは無料です。
ミラーソースに対してミラーセッションを有効化すると、有効化されたミラーセッションを持つ各ミラーソースについて、1 時間単位で課金されます。使用時間が 1 時間に満たない場合でも、1 時間に切り上げられます。
1 つのミラーソースに対して複数のミラーセッションを作成した場合、インスタンス料金は 1 回のみ課金されます。課金対象となるアクティブ時間は、そのミラーソースがすべてのミラーセッションでアクティブだった時間の合計に基づいて計算されます。たとえば、ミラーソースがミラーセッション 1 で 5 時間、ミラーセッション 2 で 4 時間アクティブだった場合、課金対象となるアクティブ時間の合計は 9 時間となります。
課金例
VPC 内の 5 つの ENI に対してミラーセッションを有効化し、30 日間毎日 24 時間稼働させ、ミラーリングされたデータの合計量が 20 GB であった場合の料金内訳は以下のとおりです。
インスタンス料金 = 5 × 30 × 24 × 0.014 = USD 50.4
データ処理料金 = 20 × 0.007 = USD 0.14
トラフィックミラーリングの合計料金 = 50.4 + 0.14 = USD 50.54
料金滞納とチャージ
料金滞納と更新
サポート対象リージョン
エリア | リージョン |
アジア太平洋 - 中国 | 中国 (杭州)、中国 (上海)、中国 (南京 - ローカルリージョン、閉鎖予定)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深セン)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、および 中国 (福州 - ローカルリージョン、閉鎖予定) |
アジア太平洋 - その他 | 日本 (東京)、韓国 (ソウル)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、タイ (バンコク)、フィリピン (マニラ) |
ヨーロッパ・アメリカ | ドイツ (フランクフルト)、イギリス (ロンドン)、米国 (シリコンバレー)、および 米国 (バージニア) |
中東 | サウジアラビア (リヤド - パートナー運営) |
クォータ
クォータ名 | 説明 | デフォルト制限 | 調整可能 |
trafficmirror_quota_source_num_per_session | 1 つのセッションあたりのミラーソース数。 | 10 | はい。 |
vpc_quota_traffic_mirror_source_num_per_large_ecs_target | ミラーターゲットが ENI で、その ENI が次のいずれかのインスタンスタイプの ECS インスタンスにアタッチされている場合にサポートされるトラフィックミラーソース | 200 | |
vpc_quota_traffic_mirror_source_num_per_small_ecs_target | ミラーターゲットが ENI であり、かつその ENI が以下のいずれかのインスタンスタイプの ECS インスタンスにアタッチされていない場合にサポートされるトラフィックミラーソース | 20 | |
vpc_quota_traffic_mirror_rules_num_per_filter | 1 つのフィルターあたりのフィルタールール数。 | 20 | |
なし | 1 つのリージョン内のアカウントあたりのミラーセッション数。 | 20,000 | いいえ。 |
1 つのミラーソースあたりのミラーセッション数。 | 3 | ||
ミラーターゲットが非公開のクラシックロードバランサー (CLB) インスタンスである場合に、そのミラーターゲットでサポートされるトラフィックミラーソース。 | 500 | ||
ミラーターゲットがゲートウェイロードバランサーエンドポイント (GWLBe) である場合に、1 つのミラーターゲットがサポートするミラーソース数。 | 500 | ||
1 つのリージョン内のアカウントあたりのフィルター数。 | 100 | ||
1 つのフィルターあたりのミラーセッション数。 | 2,000 |