VCNネットワークを設定して、Virtual Network Sensorデータポートへのトラフィックミラーリングを有効にします。
手順
- https://www.oracle.com/cloud/sign-in.htmlに移動してOracle Cloud Infrastructureにサインインしてください。
- ミラートラフィックをVirtual Network Sensorに送信するためのネットワークロードバランサーを作成します。現在のOracle Cloud Infrastructureの制限により、ミラーリングされたトラフィックはネットワークロードバランサーからVirtual Network Sensorにのみ送信できます。詳細については、VTAPのソースとターゲットを参照してください。
- 左上のナビゲーションメニューアイコン (
) をクリックし、に移動します。 - [Create network load balancer]をクリックします。
- ネットワークロードバランサーの名前を指定します。
- コンパートメントを選択してください。管理の簡素化と容易さのために、ネットワークロードバランサーをVirtual Network Sensorインスタンスと同じコンパートメントに保持してください。
- 可視性タイプを選択するには[Private]を選択してください。
- [Header preservation]で[Source/destination header (IP, port) preservation (network load balancer)]を有効にします。
- [Enable symmetric hashing]をオンにする。
- [Choose networking]で、仮想クラウドネットワークとネットワークロードバランサーが存在するコンパートメントを選択します。簡単で管理しやすくするために、ネットワークロードバランサーをVirtual Network Sensorインスタンスと同じコンパートメントおよび仮想クラウドネットワークに保持してください。
- ネットワークロードバランサーが存在するサブネットとコンパートメントを選択してください。Virtual Network Sensorのデータポートで使用されるサブネットを選択してください。
- [Use network security groups to control traffic]を有効にし、Virtual Network Sensorデータポートのコンパートメントとネットワークセキュリティグループを選択します。
- 必要に応じてセキュリティ属性とタグを追加し、[次へ]をクリックしてください。
- リスナーの名前を指定してください。
- [UDP/TCP/ICMP]を選択して、リスナーが処理するトラフィックのタイプを指定し、[次へ]をクリックします。
- ネットワークロードバランサーのバックエンドを追加します。
-
バックエンドセットの名前を指定します。
-
[Add backends]をクリックします。
-
バックエンドタイプには[Compute instances]を選択してください。
-
Virtual Network Sensorインスタンスが存在するコンパートメントを選択し、Virtual Network Sensorインスタンスを選択してください。
-
以前に記録されたVirtual Network SensorインスタンスのIPアドレスを指定します。
-
[Add backends]をクリックします。
-
- [Specify health check policy]の下で、プロトコルに[TCP]を選択し、ポートに[14789]を指定します。
- [Fail open]を有効にする。
- [次へ]をクリックし、設定を確認して[Create network load balancer]をクリックします。作成が完了すると、ネットワークロードバランサーの詳細画面が表示されます。
注意
現在、Virtual Network Sensorインスタンスはネットワークロードバランサーからのヘルスチェックに応答しておらず、そのためバックエンドセットのステータスが[重大]として表示されます。このステータスは無視しても問題ありません。[Fail open]が有効であれば、ネットワークロードバランサーは引き続きVirtual Network Sensorにトラフィックを移動させて監視することができます。 - [詳細]タブに[IPアドレス]を記録して、後の設定に備えます。これはネットワークロードバランサーのIPアドレスです。
- 左上のナビゲーションメニューアイコン (
- ネットワークロードバランサーにトラフィックをミラーリングするための仮想テストアクセスポイント (VTAP) を作成します。
- 左上のナビゲーションメニューアイコン () をクリックし、 に移動します。
- [Create VTAP]をクリックします。
- VTAPの名前を指定してください。
- コンパートメントを選択してください。管理の簡素化と容易さのために、VTAPをVirtual Network Sensorインスタンスと同じコンパートメントに保持してください。
- Virtual Network Sensorインスタンスが存在するVCNを選択してください。
- [送信元]セクションで、トラフィックミラーリングのソースを選択します。
注意
VTAPでキャプチャされたパケットの切り捨てを避けるために、ソースインスタンスのインターフェースのMTUをIPv4の場合は8950以下、IPv6の場合は8930以下に設定してください。詳細については、Oracle Cloud Infrastructureのドキュメントを参照してください。 - [対象]セクションで、サブネットと手順2で作成したネットワークロードバランサーをトラフィックミラーリングのターゲットとして選択します。
- [Select a capture filter] ボタンをクリックして [Create new capture filter] を選択します。
- キャプチャフィルターの名前を指定してください。
- コンパートメントを選択してください。管理の簡素化と容易さのために、キャプチャフィルターをVirtual Network Sensorインスタンスと同じコンパートメントに保持してください。
- 受信トラフィックのルールを作成します。
-
トラフィックの方向: [Ingress]
-
含める/除外する: [含む]
-
送信元IPv4 CIDRまたはIPv6プレフィックス: [0.0.0.0/0]
-
宛先IPv4 CIDRまたはIPv6プレフィックス: [0.0.0.0/0]
-
IPプロトコル: [すべて]
-
- [+Another rule]をクリックして、送信トラフィックのルールを作成します。
-
トラフィックの方向: [Egress]
-
含める/除外する: [含む]
-
送信元IPv4 CIDRまたはIPv6プレフィックス: [0.0.0.0/0]
-
宛先IPv4 CIDRまたはIPv6プレフィックス: [0.0.0.0/0]
-
IPプロトコル: [すべて]
-
- [Create capture filter]をクリックします。
- [Create VTAP]をクリックします。VTAPの詳細画面が表示されます。
- [開始] をクリックしてVTAPを開始します。
- 左上のナビゲーションメニューアイコン (
- Virtual Network Sensorを構成して、ネットワークロードバランサーからの健康チェックトラフィックを受け入れるようにします。
- 左上のナビゲーションメニューアイコン () をクリックし、に移動します。
- Virtual Network SensorインスタンスをデプロイしたVCNをクリックしてください。
- 詳細ページで、表示されるオプションに応じて次のいずれかの操作を実行してください。
- [セキュリティ] タブの [Network Security Groups] セクションに移動します。
- [Resources] で [Network Security Groups] を選択します。
- Virtual Network Sensorの管理ポート用に作成したネットワークセキュリティグループをクリックします。
- [Security rules]タブをクリックし、次に[ルールを追加]をクリックして、ネットワークロードバランサーからのトラフィックを受け入れるルールを追加します。方向ソースの種類ソースCIDRIPプロトコル送信元ポート範囲送信先ポート範囲目的インバウンドCIDR手順2で作成したNLBのIPアドレスをCIDR表記で指定してください。TCPすべて14789NLB健康チェックに応答するため
- 左上のナビゲーションメニューアイコン (