仮想プライベートクラウド (VPC) は、トラフィックミラーリング機能をサポートしています。 この機能を使用して、指定したフィルターに基づいてElastic network Interface (ENI) を流れるネットワークトラフィックをミラーリングできます。 トラフィックミラーリングを使用して、VPC内のElastic Compute Service (ECS) インスタンスからのネットワークトラフィックをミラーリングし、コンテンツの検査、脅威の監視、およびトラブルシューティングのために、トラフィックを指定されたENIまたは内部対応のClassic Load Balancer (CLB) インスタンスに転送できます。
トラフィックミラーリングをサポートするリージョン
地域 | サポート対象リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、 中国 (南京-地方地域) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (ウランカブ) 、中国 (深セン) 、中国 (河源) 、中国 (広州) 、中国 (成都) 中国 (香港) 、中国 (福州-地方) 、日本 (東京) 、韓国 (ソウル) 、シンガポール、オーストラリア (シドニー)サービス終了 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、タイ (バンコク) 、フィリピン (マニラ) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (シリコンバレー) 、米国 (バージニア) |
中東 | サウジアラビア (リヤド - パートナーリージョン) |
特徴
条件
フィルター: 受信ルールと送信ルールが含まれます。 フィルタは、トラフィックミラーセッションのネットワークトラフィックを制御するために使用されます。
インバウンドトラフィック: ENIによって受信されたトラフィック。
送信トラフィック: ENIから送信されたトラフィック。
トラフィックミラーソース: ネットワークトラフィックをミラーリングするENI。
トラフィックのミラーリング先: ミラーリングされたネットワークトラフィックを受信するために使用されるENIまたは内部対応のCLBインスタンス。
Traffic mirror session: 指定されたフィルターに基づいて、トラフィックミラーソースからトラフィックミラー宛先にネットワークトラフィックをミラーリングします。
説明
フィルターでインバウンドルールとアウトバウンドルールを指定できます。 トラフィックミラーセッションを作成するときに、セッションをフィルターに関連付けることができます。 トラフィックミラーセッションが作成されて有効になると、フィルターに一致するすべてのネットワークトラフィックがミラーリングされます。 送信元CIDRブロック、送信元ポート、送信先CIDRブロック、送信先ポート、およびプロトコルの5つのパラメーターを使用して、フィルターで受信ルールと送信ルールを指定します。
たとえば、インバウンドルールのパラメーターを次の値に設定できます。ソースCIDRブロックは192.168.0.0/16、ソースポートは10000、宛先CIDRブロックは10.0.0.0/8、宛先ポートは80、プロトコルはTCPです。 上記の設定が完了すると、トラフィックミラーセッションは、指定されたフィルタ条件に基づいて、指定されたECSインスタンスに送信されたネットワークトラフィックをミラーリングします。
交通ミラーの目的地
トラフィックミラーの宛先は、ENIまたは内部向けのCLBインスタンスです。
同じアカウントおよびリージョン内で、トラフィックミラーソースとトラフィックミラーデスティネーションを同じVPCまたは異なるVPCにデプロイできます。 異なるリージョンまたは異なるAlibaba Cloudアカウントでトラフィックミラーのソースと宛先を作成することはできません。
ミラーリングされたトラフィックがカプセル化された後、VPCルートテーブルで指定されたパスを介してトラフィックミラー宛先に転送する必要があります。 ミラーリングされたトラフィックをトラフィックミラー宛先に転送できるように、ルートテーブルが正しく構成されていることを確認してください。
トラフィックミラーの送信元と送信先が異なるVPCに属している場合は、2つのVPCがVPCピアリング接続またはCloud Enterprise Network (CEN) を介して相互に通信できることを確認してください。 これにより、送信元が存在するVPCから送信先が存在するVPCにトラフィックを転送できるようになります。
シナリオ
セキュリティ: 侵入検出
ミラーリングされたトラフィックを監視するには、自社開発またはサードパーティのソフトウェアを使用できます。 これにより、すべてのセキュリティ脆弱性と侵入アクティビティが検出されます。 トラフィックミラーリング機能により、検出プロセスが高速化され、できるだけ早い機会に攻撃に対応できます。
監査: 金融または公共サービス部門
高レベルのコンプライアンスを必要とする金融業界またはシナリオでは、ネットワークトラフィックを監査する必要があります。 トラフィックミラーリング機能を使用して、トラフィックのコンプライアンスを監査できる監査プラットフォームにネットワークトラフィックをミラーリングできます。
ネットワークO&M: トラブルシューティング
O&Mエンジニアは、トラフィックミラーリング機能を使用してネットワークの問題をトラブルシューティングできます。 たとえば、ミラーリングされたトラフィックをクエリして、仮想マシン (VM) からパケットを取得する必要なしにTCP再送信の問題を分析できます。
課金
課金ルール
合計料金=インスタンス料金 + データミラーリング料金
インスタンス料金=トラフィックミラーセッションが有効になっているENIの数 × アクティブセッション時間 × 単価(USD per ENI-hour)
ENIがトラフィックミラーセッションを有効にすると、1時間ごとに課金されます。 使用期間が1時間未満の場合は、1時間に切り上げられます。 ENIのトラフィックミラーセッションを無効にすると、課金が停止します。
データミラーリング料金=ミラーリングされたデータの総量 (GB) × 単価 (USD/GB)
次の表に、課金対象アイテムの単価を示します。
課金項目 | 単価 |
インスタンス料金 | 0.014 (USD/ENI /時間) |
トラフィックミラーリング料金 | 0.007 (USD/GB) |
2025年3月31日までは、トラフィックミラーリング料金は請求されません。
たとえば、シリコンバレーゾーンBのVPCにデプロイされている5つのENIに対してトラフィックミラーセッションが有効になっています。トラフィックミラーセッションは1日24時間30日間アクティブで、データ転送プランのサイズは20 GBです。 この場合、コストの内訳は次のとおりです。
インスタンス料金= 5 × 30 × 24 × 0.014 = USD 50.4
トラフィックミラーリング料金= 20 × 0.007 = USD 0.14
合計料金= 50.4 + 0.14 = USD 50.54
制限事項
Quotas
名前 /ID | 説明 | デフォルト値 | 調整可能 |
trafficmirror_quota_source_num_per_session | 各トラフィックミラーセッションで指定できるトラフィックミラーソースの最大数 | 10 | 次の操作を実行して、クォータを増やすことができます。
|
非該当 | 各Alibaba Cloudアカウントで各リージョンに作成できるトラフィックミラーセッションの最大数 | 20,000 | 課金されません |
各トラフィックミラーソースでサポートされる最大トラフィックミラーセッション数 | 3 | ||
各Alibaba Cloudアカウントで指定できるトラフィックミラー宛先の最大数 | 無制限 | ||
各トラフィックミラー宛先を使用できるトラフィックミラーソースの最大数 |
| ||
各フィルタで指定できるルールの最大数 | 10 | ||
各フィルタに関連付けることができるトラフィックミラーセッションの最大数 | 2,000 | ||
トラフィックミラーリングをサポートしていないECSインスタンスファミリー | ecs.ga1、ecs.i1、ecs.xn4、ecs.i1-c5d1、ecs.t1、およびecs.smt | 非該当 |
制限事項
アカウントと地域
同じAlibaba Cloudアカウントおよび同じリージョン内の1つのVPCまたは異なるVPCに、トラフィックミラーソースと宛先を作成できます。 異なるリージョンまたは異なるAlibaba Cloudアカウントでトラフィックミラーのソースと宛先を作成することはできません。
説明トラフィックミラーの宛先のIPアドレスは、トラフィックミラーのソースルートを使用してアクセスできるIPアドレスである必要があります。
IPバージョン
トラフィックミラーリングを使用してIPv6トラフィックをミラーリングすることはできません。
帯域幅
トラフィックミラーセッションは、関連付けられたECSインスタンスの帯域幅を共有し、帯域幅の使用は制限されません。
説明ECSインスタンスの最大帯域幅に達すると、トラフィックミラーパケットはドロップされ、サービストラフィックを期待どおりに転送できるようになります。
トラフィックミラーのソースと宛先
トラフィックミラーソースからの各パケットは、1回だけミラーリングされ、1つのトラフィックミラー宛先にのみ送信されます。
ENIは、トラフィックミラーソースとトラフィックミラー宛先の両方として機能することはできません。
トラフィックタイプ
システムは、アドレス解決プロトコル (ARP) パケット、動的ホスト構成プロトコル (DHCP) パケット、フローログパケット、またはセキュリティグループまたはネットワークACLによってドロップされたパケットをミラーリングしません。
セキュリティルール
パケットがトラフィックミラーソースからミラーリングされるとき、それらはセキュリティグループまたはネットワークアクセス制御リスト (ACL) によって制限されません。 ただし、セキュリティグループとネットワークACLは、パケットがトラフィックミラー宛先にミラーリングされるときにパケットに制限を課します。 したがって、トラフィックミラーの宛先に次のセキュリティグループルールとネットワークACLルールを設定する必要があります。
セキュリティグループルール: トラフィックミラーソースのENIのIPアドレスが、宛先ポートが4789のUDPパケットにアクセスできるようにするインバウンドルールを設定する必要があります。 セキュリティグループルールの設定方法の詳細については、「セキュリティグループの作成」をご参照ください。
ネットワークACLルール: すべての送信元ポートからのUDPパケットと、トラフィックミラーソースとして機能するENIのIPアドレスを許可するインバウンドルールを設定する必要があります。 ネットワークACLの設定方法の詳細については、「ネットワークACLの作成と管理」をご参照ください。
パケット長とMTU
標準の仮想拡張可能LAN (VXLAN) プロトコルは、パケットをカプセル化するためにトラフィックミラーセッションで使用される。 VXLANプロトコルの詳細については、「RFC 7348」をご参照ください。
トラフィックミラー宛先によって受信されるミラーリングされたパケットの長さは、最小MTUおよび指定されたミラーリングされたパケット長によって制限される。
ミラーリングされたパケットの長さにVXLANヘッダの長さ (固定値50) を加えたものが最小MTUより大きい場合、システムはミラーリングされたパケットを切り捨てる。
Alibaba Cloudネットワークでは、デフォルトのMTUは1500です。 ただし、VPNゲートウェイなどの一部のコンポーネントのMTUは1500未満です。 詳細については、「MTUとジャンボフレーム」をご参照ください。
最小MTUが1500よりも大きい場合、例えば8500である場合、システムは、MTUが1500でパケットを依然として切り捨てる。
実際のミラーリングされたパケット長が指定されたミラーリングされたパケット長よりも長い場合、システムはミラーリングされたパケットを切り捨てます。 この機能は一部の地域でのみサポートされています。 詳細については、「トラフィックミラーリングの操作」をご参照ください。
ミラーリングされたパケットが切り捨てられないようにするには、トラフィックミラーソースのMTUを1450バイト未満に設定することを推奨します。
ソースECSインスタンスのTSO (TCP Segmentation Offload) またはUFO (UDP Fragmentation Offload) が有効になっている場合、ミラーリングプロセスが異なる場合があります。 トラフィックミラー宛先がソースサービスパケットのミラーリングされたすべてのパケットを受信する場合は、ソースECSインスタンスのTSOとUFOを無効にするか、第7世代ECSインスタンスファミリー以降を使用することを推奨します。 TSOとUFOを無効にすると、ECSインスタンスのパフォーマンスが影響を受ける可能性があります。
説明インスタンスタイプ名に基づいて、ECSインスタンスが第7世代であるかどうかを判断できます。 たとえば、ecs.g7se.xlargeは、ECSインスタンスが第7世代であることを示します。 詳細については、「ECSインスタンスタイプを選択するためのベストプラクティス」をご参照ください。
パケット長の単位: バイト。
手順
詳細については、「トラフィックミラーソースの作成と管理」をご参照ください。