本記事では、Gigamon社提供のGigamon クラウド可視化ソリューションと弊社取り扱いのntop製品を連携させ、AWS VPC内のAWSインスタンストラフィックを収集し、あらゆる通信をロギング、フロー化、さらには可視化する方法について記載します。
文:ジュピターテクノロジー よしひろ
Gigamon クラウド可視化ソリューションについては、Gigamon社のWebサイトをご覧ください。
仮想ネットワークとクラウド・ネットワークのためのビジビリティ(www.gigamon.com/jp)
前提条件
本記事では、Gigamon クラウド可視化ソリューションのコンポーネントであるG-vTap Agentを監視対象のEC2インスタンスにインストールし、トラフィック受信インスタンスであるntopngインスタンスがAWS VPC上のトラフィックをロギング・フロー化・可視化します。
簡易的な設定投入で、Gigamon クラウド可視化ソリューションとntopがあればAWS VPC内のトラフィックを自由にロギング・フロー化・可視化することができます。
Gigamon クラウド可視化ソリューション連携イメージ
図1 Gigamon クラウド可視化ソリューションとntopng連携ソリューション
実際に監視対象インスタンスのトラフィックをntopngにコピー送信するメカニズムをご説明いたします。
- G-vTAP Agentが監視対象インスタンスの通信をコピー、Gigamon V Series Nodeへ転送
- V Series nodeがアグリゲーション・フィルタリングを実施
- V Series nodeからntopngへGRE経由で監視対象インスタンスのコピートラフィックを転送
参考:"AWS環境の可視化 Gigamon社クラウド可視化ソリューションのご紹介"
GREトンネル設定
図1のntopngはEC2インスタンスです。ntop製品がサポートしているプラットフォームは、以下の通りです。
- Debian/Ubuntu/CentOS(x64)
- FreeBSD/OPNsense/pfSense
- Docker
今回は、Ubuntu Server 20.04 LTS (HVM),
SSD Volume Typeを利用しましたが、上記のプラットフォームで貴社が希望するものをご準備ください。
図1のGRE Tunnelの記載の通り、Virtual TAPからのトラフィックを受信するためには、Gigamon
Vseries NodeとGRE Tunnelを接続する必要があります。ここでは以下のコマンドを使用しました。
$ sudo
modprobe ip_gre
$ lsmod |grep
gre
※モジュールの確認 ip_gre, greが表示される
$ sudo
ip link add tun0 type gretap local any remote "Gigamon Vseries NodeのIPアドレス"
$ sudo ip
link set dev tun0 up
上記コマンドによりtun0インターフェイスが追加されています。
$ sudo ip a
~snip~
6: tun0@NONE:
<BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 8963 qdisc fq_codel state
UNKNOWN group default qlen 1000
link/ether ae:7e:23:ba:49:e5 brd ff:ff:ff:ff:ff:ff
inet6 fe80::ac7e:23ff:feba:49e5/64 scope link
valid_lft forever preferred_lft forever$
次に、ntop製品をインストールします。以下に従ってください。
$
sudo apt-get install software-properties-common wget
$ sudo
add-apt-repository universe
$ sudo wget
https://packages.ntop.org/apt/20.04/all/apt-ntop.deb
$ sudo apt
install ./apt-ntop.deb
$ sudo
apt-get clean all
$ sudo
apt-get update
$ sudo
apt-get install pfring-dkms nprobe ntopng n2disk
$ sudo
apt-get update
$ sudo
apt-get upgrade
$ sudo
ethtool -K tun0 gro off gso off tso off
$ sudo
systemctl restart ntopng
ntopngのライセンスを購入済みであれば、この後ライセンスの適用といった流れとなります。ライセンスを保有していない場合でも、ntopngの評価検証だけであれば、正規ライセンスを必ずしも適用する必要はありません。
上記コマンドによりインストールが完了すれば、商用版が10分間起動しますのでntopngを評価することができます。
ntopngの設定
tun0に流れるトラフィックの時系列データ取得と可視化の為にntopngの設定を以下のように変更します。
$sudo vi
/etc/ntopng/ntopng.conf
~snip~
-i=tun0 ※-iオプションにGREトンネルインターフェイスを指定
-F=nindex
~snip~
:wq!
$ sudo
systemctl restart ntopng
以上で、ntopng側の設定は完了です。
GigaVUEによるコピートラフィックの送信
ntopngインスタンスの設定が全て完了すれば、後はGigaVUEの操作により監視対象インスタンスのコピートラフィックを送信するように設定します。
Gigamon クラウド可視化ソリューションとntopの連携で得られるもの
本連携により、以下を実現することができます。
- AWS VPCの監視対象インスタンストラフィックの中長期フロー分析
- AWS VPCの監視対象インスタンストラフィックのロギング(フロー単位)
- AWS VPCの監視対象インスタンスのトラフィック可視化(マップ、時系列グラフ)
- AWS VPCの監視対象インスタンストラフィックのパケット保存(pcap抽出)
また、オンプレ側にntopngサーバーを準備し、バックホールを通してAWS APCのトラフィックを転送することも可能です。
本記事で扱っているGigamon クラウド可視化ソリューションにご興味のある方は、以下のリンクから日本国内総代理店である株式会社マクニカ様へお問い合わせ、資料請求をお願いします。
Gigamon | お問い合わせ - 株式会社マクニカ(www.macnica.co.jp)
Gigamon | 資料請求 - 株式会社マクニカ(www.macnica.co.jp)
ntop社のnProbe, ntopng製品にご興味のある方は、以下のリンクから弊社までお問い合わせください!
