【 AWS VPCトラフィックのミラー設定方法】クラウド環境だってもちろん必須な知識!

2021年7月10日 題名を変更したよ!

以前、Hyper-Vの仮想マシンに物理サーバーNICのトラフィックを転送するといった記事を書きました。

ご興味ある方は、こちらをご一読いただければと思います。

Hyper-Vとは異なりますが、今後AWS, Azure, Alibabaといった皆さんが利用しているクラウドサービス内のトラフィックをミラー/キャプチャして分析するといった需要は一定数あるかと思います。

そこで今回は、AWS VPC内のトラフィックのミラー方法をご紹介したいと思います。

ちょっとしたハマリポイントがあるので、なるべく実際の画面を使って説明したいと思います。

図1 AWS VPCトラフィックのミラーイメージ

図1がVPCのトラフィックミラーのイメージ図です。

公開サーバーは、AWSのNitro Systemで起動する必要があります。

それ以外のEC2ではトラフィックミラーの設定ができません。

こちらはまりポイントなのでご注意ください。

ここで、AWSのトラフィックミラーを実現するための用語を正しく理解する必要がありますので、まとめておこうと思います。

用語説明
ENIElastic Network Interface。物理サーバーでいうNICです
トラフィックミラーターゲット図1でいうところのENI2です。トラフィックの送信先といった意味でターゲットと命名したものと理解しています
セキュリティグループEC2インスタンスに適用可能なAWS標準のファイアウォール機能です
表1 AWS VPCのトラフィックミラーリングに必要な用語知識

図1では、公開サーバー(Webサーバー等)のENI1からトラフィック分析用サーバーのENI2にトラフィックをミラーしています。

AWSマネジメントコンソールではトラフィックミラーターゲットを設定するメニューがあります。

こちらは、表1の通りトラフィック送信先となりENI2が今回のターゲットとなります。

表にセキュリティグループを記載したのは、デフォルトセキュリティグループを使ってしまうとトラフィックが表示されないからです。

つまり、ファイアーウォール設定を緩めたミラー用のセキュリティグループを作成する必要があります。

それでは、早速設定してみましょう。

セキュリティグループの作成

本記事では、公開サーバー、トラフィック分析用サーバーのEC2はそれぞれ起動しているとし、ENI2の作成から始めます。

AWSマネージメントコンソール、EC2に移動し図2の通り「セキュリティグループ」をクリック、セキュリティグループの作成をクリックしてください。

図2 セキュリティグループの作成

図3の設定ですが、「タイプ」にすべてのTCP,UDPそして「ソース」を任意の場所を設定してセキュリティグループを作成してください。

図3 トラフィックミラーターゲット用セキュリティグループの作成
図4 作成したセキュリティグループ

上記のターゲット用セキュリティグループを作成せずにデフォルトセキュリティグループをうっかり設定していると、トラフィック収集ができませんのでご注意ください。

トラフィック分析サーバー用ENI2の作成

図5の通りネットワークインターフェイスをクリック、さらにインターフェイスの作成を押してください。

図5 ネットワークインターフェイス

先ほど作成したセキュリティグループをネットワークインターフェイスに設定してください。

図6 トラフィックターゲットインターフェイスの作成

作成したインターフェイスをトラフィック分析用サーバーにアッタッチしてください。以上で、ENI2の作成は完了です。

図7 ネットワークインターフェイス画面
図8 ネットワークインターフェイスのアッタッチ

AWS VPCトラフィックミラーの設定

いよいよ、トラフィックミラーの設定です。

AWSマネージメントコンソールのVPCに遷移してください。

そのままですが、メニューに「トラフィックのミラーリング」があり、3つのリンク「ターゲットをミラーリング」、「フィルターをミラーリング」、「セッションをミラーリング」この全てを設定する必要があります。

順番も上記記載通りです。

それでは「ターゲットをミラーリング」をクリックし、トラフィックミラーターゲットの作成を押してください。

図9トラフィックミラーのメニュー

「ターゲット」に先ほど作成したENI2を選択してください。

図10 ターゲットをミラーリング設定

次に図9のメニュー「フィルタをミラーリングする」を選択し、「トラフィックミラーフィルタの作成」をクリック、図10の通りにインバウンドルールに設定してください。

この設定で公開サーバーのインバウンドトラフィックをキャプチャします。

設定が終わったら作成ボタンをおしてください。

図11 トラフィックミラーフィルタの設定

最後に、図8のメニュー「セッションをミラーリング」を選択してください。

そして、トラフィックミラーセッションの作成を押してください。

「ミラーソース」に、公開サーバーのENI1を指定。

「ミラーターゲット」にトラフィック分析用のENI2を指定してください。

「セッション数」に1を指定。

「フィルタ」に図10で作成したフィルタを指定して作成ボタンを押せば全ての設定は完了です。

図11 セッションをミラーリング設定

お疲れ様でした! あとはトラフィック分析用サーバーのENI2を対象にtcpdumpやwiresharkを使って公開サーバー宛てのアドレスが転送されているかをご確認ください。

(Visited 1,840 times, 1 visits today)
The following two tabs change content below.
【好きなもの】 インフラ技術が好き。古いものが好き。 【生きてきたフィールド】 システム運用、ソフトウェア開発、ミドルウェア検証、OSSサポート、プリセールスエンジニア、プロジェクトマネジメント 【このサイトでの役割】 サイト管理者。