- ライター:新谷 裕太
- 2019年新卒入社後、Cisco Systems社製エンタープライズ向けスイッチであるCatalystを主として可視化商材のFlowmonなどの検証・評価に従事。
現在はCisco Catalyst Centerの製品担当やプログラミングによる社内業務の効率化・自動化などもおこなっている。
目次
はじめに
ネットワークを管理されているお客様の中には、利用している環境内でトラブルが発生した場合に備えて、いつどのような通信がどのくらい流れていたのかを把握し、迅速に原因究明したいというニーズがあるかと思います。
この場合、その原因の特定には過去のトラフィックを保存しておく必要がありますが、効率的なトラフィック収集の手法として、フロー情報を利用してフローコレクターで確認するという方法があります。
しかしながら、ハイブリッドクラウド環境を利用している場合には、オンプレミスとパブリッククラウドのそれぞれで個別にフローコレクターを用意してトラフィックを収集する必要があり、原因箇所が判明していない状態では、各フローコレクターを確認して原因を絞り込む必要がありました。
そこで本記事では、ネットワーク可視化を検討されているお客様の中でも特にオンプレミスに加え、パブリッククラウドも利用したハイブリッドクラウド環境のより効率的な可視化をご紹介いたします。
本記事では、可視化ソリューションであるFlowmonで実現しています。
Flowmon とは
Flowmonとはフローコレクターの一種で、パケット収集やNetFlowなどによってトラフィックを可視化するソリューションになります。
プロダクトとしては大きく分けて、以下の二つがあります。
- トラフィックが通過するネットワーク機器で生成したフロー情報を収集するFlowmonコレクタ
- ネットワーク機器がフロー生成ができない場合に生パケットを収集しフロー生成を担うFlowmonプローブ
今回はそのプロダクトのひとつであるFlowmonコレクタを利用し、管理下のクラウド上を流れる通信についても、オンプレミスに配置したFlowmonで簡単にモニタリングできる機能であるフローログ連携にフォーカスして、実際に利用してみました。
これまでFlowmonでは、Amazon Web Services(AWS)のフローログにのみ対応しておりましたが、新たなバージョンであるFlowmonOS 12.0にて、AWSに加え3大クラウドサービスであるMicrosoft Azure、GCPに対応いたしました。
どのクラウドサービスを利用した場合でも、FlowmonのGUIからのトラフィックの見え方はほとんど同様のため、今回は特にシェアの高いAWSについて、実機検証を踏まえて構成およびFlowmonでの見え方をご紹介します。
クラウドサービスが関わるトラフィック情報収集の問題点・懸念点
クラウドサービスが関わるトラフィックで、どのような通信がおこなわれていたかをフローコレクターで記録するには、以下のようないくつかの手法が考えられます。
例として、一つ目はシンプルにオンプレミスのWANルータなどでフロー生成をおこない記録する方法があります。
しかし、この方法ではクラウド同士であったりオンプレミスを含まない通信であれば取りこぼすパターンがあり得ます。
二つ目はVPNゲートウェイなどでクラウドとオンプレミス環境を接続し、トラフィックをミラーリングし、生パケットをオンプレミスに設置したFlowmonプローブへ記録する方法です。
しかし、こちらの方法ではトラフィックをインターネット経由で送出することでセキュリティ問題や帯域を圧迫することはもちろん、従量課金で料金の加算が非常に多くなってしまうという懸念点があります。
三つ目はフローコレクターをクラウドに配置する方法があります。
Flowmonには仮想版のモジュールが各クラウドサービス上で提供されており、AWSであればEC2インスタンス向けのFlowmonの仮想アプライアンスをクラウドに配置し、そのコレクターでフロー収集をおこなうことで二つ目の方法の懸念点であるインターネット経由での送出による帯域の圧迫/コスト増大は解決できます。
しかしながら、この方法ではトラブルシューティングの際、確認するフローコレクターが分かれてしまうという課題が考えられます。
例えば、クラウドが関わる通信においてはクラウド上の仮想アプライアンスを確認し、オンプレミスが関わる通信においてはオンプレミス内の物理アプライアンスを確認する必要があるということとなります。
原因箇所が正確に判明していない段階ではより究明に時間を要する原因となります。
以上のことから、取得できないパターンがある場合や取得できる構成をとった場合においても、コストが高くなることやトラブルシューティングの際に非効率的な運用となってしまう懸念点がありました。
フローログを利用することのメリット
先述のような問題点・懸念点に対応するため、今回はフローログというサービスを利用します。
フローログとは各クラウドに用意されている機能のひとつでトラフィック情報をフロー形式にして保存する機能です。
これにより、直接パケットを保存することと比べ大幅に容量を削減することができます。
実際にAWSのVPCフローログから取得した際のFlowmonでの見え方
実際に弊社環境でAWSでの環境を作成してみました。
AWSではVPCフローログというサービスが提供されており、VPCから送受信される通信についてCloudWatchに保存することができます。
環境としては下図のような形をとり、EC2インスタンスと外部との通信をオンプレに配置したFlowmonから取得するような形としています。
実運用においては図にもある通り、オンプレを通過する通信についてはルータ、スイッチからNetFlowで取得する形となるかと思います。
今回は通信がどのように確認できるかのみが必要であるため、最小構成でVPC内にEC2インスタンス(10.0.1.100/24)をひとつのみ配置しています。
このような構成でFlowmonからCloudWatch Logsに格納されているフローログを確認すると例として以下のようなものが確認可能になります。
以下、図はFlowmonのGUIでの見え方ですが、EC2へのブラウザ接続で用意されているEC2 Instance Connectを利用した通信が確認できます。
また、別パターンとしては同様の画面にてインターネットからのEC2インスタンスへのポートスキャンがおこなわれていることも判断することができます。(送信元ドメインからの推定)
これらの通信は、オンプレミスを通過していない通信のため、従来構成では取得できないものとなっておりますがフローログ連携によって、オンプレミスに配置したFlowmonで可視化できていることが確認できます。
まとめ
今回は、Flowmonを活用したハイブリッドクラウド環境での効率的なトラフィック情報収集をフローログ連携にて実現するケースについてご紹介いたしました。
本記事内でも検証時の画面キャプチャを使用いたしましたが、弊社内でもこのような実機検証を随時実施しております。
ハイブリッドクラウド環境での可視化を検討していたり、シンプルに可視化のみでもご興味をお持ちのお客様は、是非お気軽に弊社担当にご連絡いただけますと幸いです。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
