ビュー:

VPC ネットワークを設定して、トラフィック ミラーリングを Virtual Network Sensor データ ポートに有効にします。

注意
注意
これらの指示に含まれる手順は、2024年7月現在有効です。
お好みの方法を使用して Google Cloud 環境でトラフィックミラーリングを設定するか、パケットミラーリングに関する Google Cloud ドキュメントの手順に従ってください。
設定に迷った場合は、このガイドの手順に従ってトラフィックミラーリングを設定してください。この方法は、トレンドマイクロ によって Virtual Network Sensor の展開にテストされています。
開始する前に、ミラーソースとして使用する仮想マシン (VM) を決定していることを確認してください。ミラーソースVMは、Virtual Network Sensorデータポートへのパケットミラーリングのデータソースです。

手順

  1. ネットワーク ピアリングを設定します。
    トレンドマイクロ は、Virtual Network Sensor データポートをミラーソース VM とは別の VPC ネットワークに配置することを推奨します。データポートをミラーソース VM と同じネットワークに割り当てた場合は、次のステップに進んでください
    重要
    重要
    複数のVPCネットワークを使用している場合、パケットミラーリングを有効にするために両方のVPCネットワークでネットワークピアリングを設定する必要があります。
    1. Google Cloud 環境で、[VPC network][VPC networks] に移動します。
    2. ミラーソースVMがあるVPCネットワークを見つけてクリックしてください。
      [VPC network details] 画面が表示されます。
    3. [VPC Network Peering] へ移動します。
    4. [Add Peering] をクリックします。
      [Create peering connection] 画面が表示されます。
    5. ピアリング接続に一意の [name] を指定します。
    6. [Peered VPC netwok] の下で、Virtual Network Sensor データポートが割り当てられている VPC ネットワーク名を選択します。
    7. [作成] をクリックします。
    8. [VPC Networks]画面に戻る。
    9. Virtual Network Sensorデータポートを持つVPCネットワークを見つけてクリックしてください。
      [VPC network details] 画面が表示されます。
    10. [VPC Network Peering] へ移動します。
    11. [Add Peering] をクリックします。
      [Create peering connection] 画面が表示されます。
    12. ピアリング接続に一意の [name] を指定します。
    13. [Peered VPC netwok] の下で、ミラーソースVMが配置されているVPCネットワーク名を選択します。
    14. [作成] をクリックします。
  2. 非管理対象インスタンス グループを作成します。
    1. [Compute Engine][Instance groups] に移動します。
    2. [Create Instance Group] をクリックします。
      [Create Instance Group] 画面が表示されます。
    3. [New unmanaged instance group] をクリックします。
    4. インスタンスグループに一意の [name] を指定します。
    5. [場所] が Virtual Network Sensor にデプロイされている場所を選択してください。
    6. [ネットワーク] が Virtual Network Sensor 管理ポートのある場所を選択してください。
    7. [Subnetwork] が Virtual Network Sensor 管理ポートがある場所を選択します。
    8. [VM instances] の場合、Virtual Network Sensor インスタンスを選択します。
    9. [作成] をクリックします。
  3. 健康チェックを作成します。
    1. [Compute Engine][Health checks] に移動します。
    2. [Create Health Check] をクリックします。
      [Create a health check] 画面が表示されます。
    3. ヘルスチェックに一意の [name] を指定します。
    4. [プロトコル][TCP] を選択します。
    5. [ポート] に対して、14789 を入力してください。
    6. [作成] をクリックします。
  4. ロードバランサーを作成します。
    1. [Network services][Load balancing] に移動します。
    2. [Create Load Balancer]をクリックします。
      [Create a load balancer] 画面が表示されます。
    3. [Type of load balancer] のために、[Network Load Balancer (TCP/UDP/SSL)] を選択し、[次へ] をクリックします。
    4. [Proxy or passthrough] のために、[Passthrough load balancer] を選択し、[次へ] をクリックします。
    5. [Public facing or internal] の場合、[内部] を選択し、[次へ] をクリックします。
    6. [設定] をクリックします。
      [Create internal passthrough Network Load Balancer] 画面が表示されます。
    7. ロードバランサーに一意の [name] を指定します。
    8. 同じ[地域]を選択して、Virtual Network Sensorが展開されている場所を選択します。
    9. [ネットワーク] が Virtual Network Sensor データポートがある場所と同じものを選択してください。
    10. [Backend configuration] が自動的に表示されない場合は、[Backend configuration] をクリックしてください。
    11. [Backend type][Instance group] を選択します。
    12. [プロトコル][TCP] を選択します。
    13. [New backend] の下で、[IP stack type] のために [IPV4 (single-stack)] を選択します。
    14. [Instance group]作成したVirtual Network Sensor管理ポートを選択します。
    15. [Health check]を作成しましたを選択してください。
    16. [Session affinity][なし] を選択します。
    17. [完了] をクリックします。
    18. [Frontend configuration] をクリックします。
    19. [Subnetwork] が Virtual Network Sensor データポートがある場所を選択してください。
    20. [ポート][すべて] を選択します。
    21. [Advanced Configurations] を展開。
    22. [Enable this load balancer for Packet Mirroring] を選択します。
    23. [完了] をクリックします。
    24. [作成] をクリックします。
  5. パケットミラーリングポリシーを作成します。
    1. [VPC network][Packet mirroring] に移動します。
    2. [ポリシーを作成] をクリックします。
      [ポリシーを作成] 画面が表示されます。
    3. 一意の[ポリシー名]を指定してください。
    4. 同じ[地域]を選択して、Virtual Network Sensorが展開されている場所を選択します。
    5. [Continue] をクリックします。
    6. VPCネットワークを選択してください。
      • Virtual Network SensorデータポートをミラーソースVMと同じネットワークに割り当てた場合は、[Mirrored source and collector destination are in the same VPC network]を選択し、次にそれらが配置されているVPCネットワークを選択します。
      • Virtual Network Sensor データポートをミラーソースVMとは異なるネットワークに割り当てた場合は、[Mirrored source and collector destination are in separate, peered VPC networks] を選択し、次の操作を行います。
        • [Mirrored source VPC network]: ミラーソースVMのネットワークを選択
        • [Collector destination VPC network]: Virtual Network Sensorデータポートのネットワークを選択
    7. [Continue] をクリックします。
    8. [Mirrored source] のために、[Select individual instances] を選択し、[選択] をクリックします。
    9. 表示された画面で、ミラーソースVMを選択して、[選択] をクリックします。
    10. [Continue] をクリックします。
    11. 作成したロードバランサー[Collector destination]として選択します。
      ロードバランサはNAME-forwarding-rule (NAME)の形式で表示される場合があります。
    12. [Continue] をクリックします。
    13. [Mirror all IPv4 traffic (default)] を選択します。
    14. [送信] をクリックします。
  6. Virtual Network Sensorデータポートのファイアウォールルールを構成します。
    トレンドマイクロ は、ネットワークトラフィックの最大可視性を確保するために、Virtual Network Sensor データポートのファイアウォールルールをすべてのトラフィックを許可するように設定することを推奨します。
    1. [VPC network][VPC networks] に移動します。
    2. Virtual Network SensorデータポートがあるVPCネットワークを見つけて、名前をクリックします。
      [VPC network details] 画面が表示されます。
    3. [Firewalls] へ移動します。
    4. [Add Firewall Rule] をクリックします。
      [Create a firewall rule] 画面が表示されます。
    5. ファイアウォールルールに一意の[name]を指定してください。
    6. [Direction of traffic][Ingress] を選択します。
    7. [Action on match][許可] を選択します。
    8. [対象] の場合、Virtual Network Sensor を選択します。
      Virtual Network Sensorデータポートを新しいVPCネットワークに単独でデプロイした場合は、[All instances in the network]を選択できます。
    9. [Source IPv4 ranges] には、すべてのソースを許可するために 0.0.0.0/0 と入力します。
    10. [Protocols and ports][Allow all] を選択します。
    11. [作成] をクリックします。
    すべての手順が正常に完了すると、ミラーリングされたトラフィックがVirtual Network Sensorに流れ始めます。トラフィックがVirtual Network Sensorに到達しない場合は、設定を確認してください。