Express Connect 回線のフローログを使用した VPC トラフィックの分析

概要

Express Connect 回線

Express Connect は、オンプレミスデータセンターと VPC 間の高速、安定、安全なプライベートネットワーク通信を促進します。

Express Connect 回線は、データ伝送の信頼性と安全性を確保し、不安定性を軽減し、データ盗難を回避します。

フローログ

VPC のフローログは、Elastic Network Interface (ENI)、特定の VPC、または vSwitch 内のすべての ENI からのトラフィックをキャプチャします。

シナリオ

フローログを使用して、次の目的でハイブリッドクラウドの VPC トラフィックを分析できます。

• ネットワークの強化: フローログは、VPC にデプロイされたサービスが Express Connect 回線のリソースをどのように使用しているかについての洞察を提供します。これは、重要なサービスのリソースプランニングとパフォーマンス メンテナンス に不可欠です。

• セキュリティ監査: フローログは、潜在的なセキュリティの脅威を検出し、異常を特定し、ネットワーク障害を回避するための予防措置を講じるのに役立ちます。また、セキュリティリスクが発生した後にネットワークの問題を評価することで、状況を改善するのにも役立ちます。

• コスト管理: ハイブリッドクラウドのサービス全体のリソース使用量を理解することは、コストを正確に計算し、コスト削減の機会を見つけるための鍵となります。

前提条件

• Express Connect 回線が、中国 (杭州) に確立され、オンプレミス データセンターと VPC を接続します。次に、Cloud Enterprise Network ( CEN ) を使用して、データセンターから VPC 内の ECS インスタンスにアクセスできるようにします。詳細については、「Express Connect 回線を使用してデータセンターを ECS に接続する」をご参照ください。

  説明

  この例では、仮想ボーダールーター (VBR)、VPC1、および VPC2 を同じ CEN に接続する必要があります。 接続されると、VPC と VBR のルートエントリが CEN に自動的にアドバタイズされ、VPC と VBR 間のルート学習が可能になり、データセンターが VPC に接続されます。

• 次の表は、この例での CIDR ブロックの計画方法の概要を示しています。 必要に応じて CIDR ブロックを計画できます。 重複が発生しないようにしてください。

  項目	CIDR ブロック	サーバーまたはクライアント IP アドレス

  項目	CIDR ブロック	サーバーまたはクライアント IP アドレス
  オンプレミス IDC	10.1.1.0/24	クライアントアドレス: 10.1.1.70
  VPC1	192.168.20.0/24	ECS01 インスタンス: 192.168.20.5 ECS02 インスタンス: 192.168.20.6 ECS03 インスタンス: 192.168.20.7
  VPC2	192.168.10.0/24	ECS04 インスタンス: 192.168.10.75 ECS05 インスタンス: 192.168.10.76 ECS06 インスタンス: 192.168.10.77
  VBR	VLAN: 1 Alibaba Cloud 側 Ipv4 アドレス: 10.0.0.1 データセンター側 Ipv4 アドレス: 10.0.0.2 Ipv4 サブネットマスク: 255.255.255.252	該当なし

• フローログを作成する前に、Simple Log Service 製品ページにログインして、サービスをアクティブにする必要があります。

手順

ステップ 1: フローログを作成する

VPC1 と VPC2 のフローログを作成し、ENI トラフィックをキャプチャするには、次の手順に従います。

1. VPC コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[O&Mとモニタリング] >[フローログ] をクリックします。上部のナビゲーションバーで、[中国 (杭州)] を選択します。

3. [フローログ] ページで、[フローログの作成] をクリックします。 次のパラメーターを設定し、[OK] をクリックします。

   次の表には、密接に関連するパラメーターのみがリストされています。 その他はデフォルト値のままです。 詳細については、「フローログの作成または削除」をご参照ください。

   パラメーター	説明

   パラメーター	説明
   リソースタイプ	トラフィックをキャプチャするリソースのタイプを選択します。 この例では、VPC が選択されています。
   リソースインスタンス	トラフィックをキャプチャするインスタンスを選択します。 この例では、VPC1 と VPC2 が選択されています。
   データ転送タイプ	キャプチャするトラフィックのタイプを選択します。 この例では、すべて が選択されています。
   プロジェクト	キャプチャされたトラフィックを保存するプロジェクトを選択します。 VPC1 には [プロジェクトの作成] が選択されています。 VPC2 にはこのプロジェクトを使用します。 この例では、後のクエリと分析のために、VPC1 と VPC2 のログを同じプロジェクトとログストアに配信します。
   ログストア	キャプチャされたトラフィックを保持するログストアを選択します。 VPC1 には [ログストアの作成] が選択されています。 VPC2 には VPC1 のログストアを使用します。
   ログ分析レポートを有効にする	この例では、この機能はアクティブになっています。

ステップ 2: フローログを表示する

1. [フローログ] ページで、管理するフローログを見つけ、ログストアの名前をクリックします。

2. 次の図の手順を実行して、VPC からオンプレミスデータセンターへのトラフィックを表示します。

   番号	説明

   番号	説明
   ①	次の SQL 文を入力してトラフィックを集計およびソートし、VPC からデータセンターへのトラフィックの割合を表示します。 action: ACCEPT and srcaddr: 192.168.* and dstaddr:10.1.* | WITH vpc1_traffic AS ( SELECT date_trunc('minute',__time__) AS minute, SUM(bytes*8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) AS total_vpc1_traffic FROM log WHERE srcaddr LIKE '192.168.10.%' GROUP BY date_trunc('minute',__time__) ), vpc2_traffic AS ( SELECT date_trunc('minute',__time__) AS minute, SUM(bytes*8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) AS total_vpc2_traffic FROM log WHERE srcaddr LIKE '192.168.20.%' GROUP BY date_trunc('minute',__time__) ) SELECT COALESCE(vpc1_traffic.minute, vpc2_traffic.minute) AS minute, (COALESCE(vpc1_traffic.total_vpc1_traffic, 0) * 100/ NULLIF((COALESCE(vpc1_traffic.total_vpc1_traffic, 0) + COALESCE(vpc2_traffic.total_vpc2_traffic, 0)), 0)) AS vpc1_percentage, (COALESCE(vpc2_traffic.total_vpc2_traffic, 0) * 100/ NULLIF((COALESCE(vpc1_traffic.total_vpc1_traffic, 0) + COALESCE(vpc2_traffic.total_vpc2_traffic, 0)), 0)) AS vpc2_percentage FROM vpc1_traffic FULL OUTER JOIN vpc2_traffic ON vpc1_traffic.minute = vpc2_traffic.minute ORDER BY minute この SQL 文は、3 つのパラメーターを定義しています。minute、VPC1 トラフィックの割合 vpc1_percentage、および VPC2 トラフィックの割合 vpc2_percentage です。 後者の 2 つのパラメーターは、minute によって昇順にソートされます。 フィルター条件とその他のパラメーターは次のとおりです。 dstaddr: 宛先 CIDR ブロック。オンプレミスデータセンターの CIDR ブロックです。 srcaddr: ソース CIDR ブロック。VPC の CIDR ブロックです。 action: 受信トラフィック (ACCEPT) の情報をフィルターします。 vpc1_traffic のサブクエリでは、srcaddr は VPC1 の CIDR ブロックとして指定されています。 vpc2_traffic のサブクエリでは、srcaddr は VPC2 の CIDR ブロックとして指定されています。 クリックして SQL 文の説明を表示します。 フィルター条件: srcaddr：192.168.*。 ソースアドレスが 192.168.* で始まるログをフィルターします。 dstaddr：10.1.*。 宛先アドレスが 10.1.* で始まるログをフィルターします。 action：ACCEPT。 action が ACCEPT であるログをフィルターします。 メインクエリ FULL OUTER JOIN を使用して、minute フィールドに基づいて vpc1_traffic と vpc2_traffic の結果を連結します。 毎分 2 つの VPC の割合を計算します。 vpc1_percentage は、合計トラフィックにおける VPC1 トラフィックの割合を表します。 vpc2_percentage は、合計トラフィックにおける VPC2 トラフィックの割合を表します。 クエリ結果は minute の昇順でソートされます。 WITH サブクエリ SQL 文には、vpc1_traffic と vpc2_traffic の 2 つのサブクエリが含まれています。 vpc1_traffic を例として使用します。 date_trunc 関数を使用して、Unix タイムスタンプ (__time__ フィールド) の精度を分レベルに切り捨て、minute という名前を付けます。 SUM 関数を使用して、特定の分の合計トラフィックレートをビット/秒 (bit/s) で計算し、total_vpc1_traffic という名前を付けます。 ソースの宛先 192.168.20.* (VPC1 の CIDR ブロック) のトラフィックレコードをフィルターします。 分でグループ化します。
   ②	フローログを分析する時間範囲を選択します。
   ③	[グラフ] タブをクリックし、 アイコンをクリックして [折れ線グラフ Pro] を選択します。
   ④	[クエリと分析の設定] セクションで、次のパラメーターを設定します。 X 軸フィールド: minute を選択します。 Y 軸フィールド: vpc1_percentage と vpc2_percentage を設定します。 [標準設定] セクションで、フォーマット を パーセント (1-100) に設定します。 その他のパラメーターはデフォルト値のままにします。
   ⑤	[検索と分析] をクリックして、VPC がデータセンターと通信するときに生成されるトラフィックデータを表示します。

関連情報

• VPC フローログによってキャプチャされるフィールドの詳細については、「フローログ」をご参照ください。

• フローログをクエリするときの エラーメッセージ の詳細については、トラブルシューティングのための「一般的なエラー」をご参照ください。

• ログのクエリと分析の詳細については、「ログクエリと分析のガイド」をご参照ください。