Virtual Private Cloud (VPC) は、トラフィックミラーリング機能をサポートしています。 この機能を使用して、指定されたフィルターに基づいてelastic network interface (ENI) を流れるネットワークトラフィックをミラーリングできます。 トラフィックミラーリングを使用して、VPC内のElastic Compute Service (ECS) インスタンスからのネットワークトラフィックをミラーリングし、指定されたENIまたは内部対応のClassic Load Balancer (CLB) インスタンスにトラフィックを転送できます。 この機能は、コンテンツの検査、脅威の監視、トラブルシューティングなどのシナリオで使用できます。
サポートされるリージョン
Alibaba Public Cloudでサポートされているリージョン
エリア | サポート対象リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、 中国 (南京-地方地域) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 、中国 (香港) 、中国 (福州地域) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、オーストラリア (シドニー) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、タイ (バンコク) 、フィリピン (マニラ) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア) |
中東 | SAU (リヤド-パートナーリージョン) |
Alibaba Finance Cloudがサポートするリージョン
エリア | サポート対象リージョン |
アジア太平洋 | China North 2 Finance (招待プレビュー) 、China East 1 Finance、China East 2 Finance |
Alibaba Gov Cloudがサポートするリージョン
エリア | サポート対象リージョン |
アジア太平洋 | 中国北部2アリ・ゴブ1 |
用語
フィルター: 受信ルールと送信ルールが含まれます。 フィルタは、トラフィックミラーセッションのネットワークトラフィックを制御するために使用されます。
インバウンドトラフィック: ENIによって受信されたトラフィック。
送信トラフィック: ENIから送信されたトラフィック。
トラフィックミラーソース: ネットワークトラフィックをミラーリングするENI。
トラフィックのミラーリング先: ミラーリングされたネットワークトラフィックを受信するために使用されるENIまたは内部対応のCLBインスタンス。
Traffic mirror session: 指定されたフィルターに基づいて、トラフィックミラーソースからトラフィックミラー宛先にネットワークトラフィックをミラーリングします。
フィルター
フィルターでインバウンドルールとアウトバウンドルールを指定できます。 トラフィックミラーセッションを作成するときに、セッションをフィルターに関連付けることができます。 トラフィックミラーセッションが作成されて有効になると、フィルターに一致するすべてのネットワークトラフィックがミラーリングされます。 送信元CIDRブロック、送信元ポート、送信先CIDRブロック、送信先ポート、およびプロトコルの5つのパラメーターを使用して、フィルターで受信ルールと送信ルールを指定します。
たとえば、インバウンドルールのパラメーターを次の値に設定できます。ソースCIDRブロックは192.168.0.0/16、ソースポートは10000、宛先CIDRブロックは10.0.0.0/8、宛先ポートは80、プロトコルはTCPです。 上記の設定が完了すると、トラフィックミラーセッションは、指定されたフィルタ条件に基づいて、指定されたECSインスタンスに送信されたネットワークトラフィックをミラーリングします。
シナリオ
セキュリティ: 侵入検出
ミラーリングされたトラフィックを監視するには、自社開発またはサードパーティのソフトウェアを使用できます。 これにより、すべてのセキュリティ脆弱性と侵入アクティビティが検出されます。 トラフィックミラーリング機能により、検出プロセスが高速化され、できるだけ早い機会に攻撃に対応できます。
監査: 金融または公共サービス部門
高レベルのコンプライアンスを必要とする金融業界またはシナリオでは、ネットワークトラフィックを監査する必要があります。 トラフィックミラーリング機能を使用して、トラフィックのコンプライアンスを監査できる監査プラットフォームにネットワークトラフィックをミラーリングできます。
ネットワークO&M: トラブルシューティング
O&Mエンジニアは、トラフィックミラーリング機能を使用してネットワークの問題をトラブルシューティングできます。 たとえば、ミラーリングされたトラフィックをクエリして、仮想マシン (VM) からパケットを取得する必要なしにTCP再送信の問題を分析できます。
課金方法と料金
課金
合計料金=インスタンス料金 + データミラーリング料金
インスタンス料金=トラフィックミラーセッションが有効になっているENIの数 × アクティブセッション時間 × 単価(USD per ENI-hour)
ENIがトラフィックミラーセッションを有効にすると、1時間ごとに課金されます。 使用期間が1時間未満の場合は、1時間に切り上げられます。 ENIのトラフィックミラーセッションを無効にすると、課金が停止します。
データミラーリング料金=ミラーリングされたデータの総量 (GB) × 単価 (USD/GB)
次の表に、課金対象アイテムの単価を示します。
課金項目 | 単価 |
インスタンス料金 | USD 0.014あたりENI-hour |
トラフィックミラーリング料金 | 0.007 (USD/GB) |
2024年3月30日までにデータミラーリング料金は請求されません。
たとえば、シリコンバレーゾーンBのVPCにデプロイされている5つのENIに対してトラフィックミラーセッションが有効になっています。トラフィックミラーセッションは1日24時間30日間アクティブで、データ転送プランのサイズは20 GBです。 この場合、料金は次の式を使用して計算されます。
インスタンス料金= 5 × 30 × 24 × 0.014 = USD 50.4
トラフィックミラーリング料金= 20 × 0.007 = USD 0.14
合計料金= 50.4 + 0.14 = USD 50.54
制限事項
Quotas
名前 | 説明 | デフォルト値 | 調整可能 |
trafficmirror_quota_source_num_per_session | 各トラフィックミラーセッションで指定できるトラフィックミラーソースの最大数 | 10 | 次のいずれかの方法を使用して、クォータの増加をリクエストできます。
|
N/A | 各Alibaba Cloudアカウントで各リージョンに作成できるトラフィックミラーセッションの最大数 | 20,000 | 任意 |
各トラフィックミラーソースでサポートされる最大トラフィックミラーセッション数 | 3 | ||
各Alibaba Cloudアカウントで指定できるトラフィックミラー宛先の最大数 | 無制限 | ||
各トラフィックミラー宛先を使用できるトラフィックミラーソースの最大数 |
| ||
各フィルタで指定できるルールの最大数 | 10 | ||
各フィルタに関連付けることができるトラフィックミラーセッションの最大数 | 2,000 | ||
トラフィックミラーリングをサポートしていないECSインスタンスファミリー | ecs.c1, ecs.c2, ecs.c4, ecs.ce4, ecs.cm4, ecs.d1, ecs.e3, ecs.e4, ecs.ga1, ecs.c1, ecs.gn4, ecs.gn5, ecs.i1, ecs.m1, ecs.m2, ecs.m2, ecs.n2. ecs. ecs.s1、ecs.s2、ecs.s3、ecs.se1、ecs.se1ne、ecs.se1nec、ecs.sn1、ecs.sn1ne、ecs.sn1nec、ecs.sn1nec、ecs.sn2ne、ecs.sn2nec、ecs.t1、ecs.xn4 | N/A |
制限事項
アカウントと地域
同じAlibaba Cloudアカウントおよび同じリージョン内の1つのVPCまたは異なるVPCに、トラフィックミラーソースと宛先を作成できます。 異なるリージョンで、または異なるAlibaba Cloudアカウントを使用して、トラフィックミラーソースと宛先を作成できます。
IPバージョン
トラフィックミラーリングを使用してIPv6トラフィックをミラーリングすることはできません。
帯域幅
トラフィックミラーセッションに追加の帯域幅を割り当てる必要はありません。 トラフィックミラーセッションは、関連付けられたインスタンスの帯域幅を共有し、帯域幅の使用は制限されません。
トラフィックミラーのソースと宛先
トラフィックミラーソースからの各パケットは、1回だけミラーリングされ、1つのトラフィックミラー宛先にのみ送信されます。
ENIは、トラフィックミラーソースとトラフィックミラー宛先の両方として機能することはできません。
トラフィックタイプ
システムは、アドレス解決プロトコル (ARP) パケット、動的ホスト構成プロトコル (DHCP) パケット、フローログパケット、またはセキュリティグループまたはネットワークACLによってドロップされたパケットをミラーリングしません。
セキュリティルール
パケットがトラフィックミラーソースからミラーリングされるとき、それらはセキュリティグループまたはネットワークアクセス制御リスト (ACL) によって制限されません。 ただし、セキュリティグループとネットワークACLは、パケットがトラフィックミラー宛先にミラーリングされるときにパケットに制限を課します。 したがって、トラフィックミラーの宛先に次のセキュリティグループルールとネットワークACLルールを設定する必要があります。
セキュリティグループルール: トラフィックミラーソースのENIのIPアドレスが、宛先ポートが4789のUDPパケットにアクセスできるようにするインバウンドルールを設定する必要があります。 セキュリティグループルールの設定方法の詳細については、「セキュリティグループの作成」をご参照ください。
ネットワークACLルール: すべての送信元ポートからのUDPパケットと、トラフィックミラーソースとして機能するENIのIPアドレスを許可するインバウンドルールを設定する必要があります。 ネットワークACLの設定方法の詳細については、「ネットワークACLの作成と管理」をご参照ください。
パケット長とMTU
標準の仮想拡張可能LAN (VXLAN) プロトコルは、パケットをカプセル化するためにトラフィックミラーセッションで使用される。 VXLANプロトコルの詳細については、「RFC 7348」をご参照ください。
トラフィックミラー宛先によって受信されるミラーリングされたパケットの長さは、最小MTUおよび指定されたミラーリングされたパケット長によって制限される。
ミラーリングされたパケットの長さにVXLANヘッダの長さ (固定値50) を加えたものが最小MTUより大きい場合、システムはミラーリングされたパケットを切り捨てる。
Alibaba Cloudネットワークでは、デフォルトのMTUは1500です。 ただし、VPNゲートウェイなどの一部のコンポーネントのMTUは1500未満です。 詳細については、「MTU」をご参照ください。
最小MTUが1500より大きい場合、たとえば8500の場合、システムは1500のMTUを使用してパケットを切り捨てます。
実際のミラーリングされたパケット長が指定されたミラーリングされたパケット長よりも長い場合、システムはミラーリングされたパケットを切り捨てます。 この機能は一部の地域でのみサポートされています。 詳細については、「トラフィックミラーリングの操作」をご参照ください。
ソースECSインスタンスのTSO (TCP Segmentation Offload) またはUFO (UDP Fragmentation Offload) が有効になっている場合、ミラーリングプロセスが異なる場合があります。 トラフィックミラー宛先がソースサービスパケットのミラーリングされたすべてのパケットを受信する場合は、ソースECSインスタンスのTSOとUFOを無効にするか、第7世代ECSインスタンスファミリー以降を使用することを推奨します。 TSOとUFOを無効にすると、ECSインスタンスのパフォーマンスが影響を受ける可能性があります。
説明インスタンスタイプ名に基づいて、ECSインスタンスが第7世代であるかどうかを判断できます。 たとえば、ecs.g7se.xlargeは、ECSインスタンスが第7世代であることを示します。 詳細については、「インスタンスタイプを選択するためのベストプラクティス」をご参照ください。
パケット長の単位: バイト。
手順
詳細については、「トラフィックミラーソースの作成と管理」をご参照ください。