5.5 VPC Traffic Mirroring
Update : 2020-03-04
Last updated
Update : 2020-03-04
Last updated
앞서 "Transit Gateway Network Manager"와 "VPC Flow log"는 모두 Layer1 ~ Layer4 까지의 가시성을 제공하고 있습니다. VPC를 여러개 구성하거나, 내부의 EC2 ENI로 송수신 되는 Low Data를 분석해서 상세한 분석을 원하는 경우에는 필요한 기능인 데이터센터의 Traffic Mirroring 기능입니다.
VPC Traffic Mirroring 기능은 이러한 요구사항을 완벽하게 지원하고 있습니다. 아래 [그림 5.5.1]은 이번 랩에서 구성하는 개념도 입니다. 구성은 트래픽을 복사하는 Source와 복사한 목적지가 되는 Target의 2가지 요소가 합쳐져서 하나의 세션으로 이뤄집니다. 이 세션은 VXLAN으로 Tunneling 되어 Copy가 이뤄지기 때문에 Encapsulation 됩니다.
Mirror Session 이름과 설명을 만듭니다.
Mirror Session 의 Source ENI를 지정합니다. (트래픽을 들여다 보고 싶은 원본의 ENI가 해당됩니다.)
Mirror Target을 지정합니다. (미리 정의 되어 있으면 목록에서 선택이 가능하고, "Create Target"을 선택하여 생성해도 됩니다.)
[VPC] -[Traffic Mirror Sessions] - [Create Traffic mirror session]
Mirror Session Number : 미러세션의 번호를 지정해 줍니다.
VNI : 지정하지 않으면 임의의 VXLAN 번호가 지정됩니다.
Filter 를 지정합니다. (미리 정의되어 있으면 목록에서 선택이 가능하고, " Create Filter"를 선택하여 생성해도 됩니다.)
Mirror Target의 이름과 설명을 만듭니다.
Target Type을 지정합니다. - ENI 또는 NLB가 Target이 될 수 있습니다.
Target - ENI를 선택하면 해당 목적지의 ENI를 선택합니다.
Filter의 이름과 설명을 만듭니다.
Inbound/Outbound Filter Rule을 선언합니다. - Security Group에서 Rule을 지정하는 것과 유사합니다.
Source에서 Traffic을 발생시켜서 , Target에서 어떻게 트래픽을 복사하는지를 확인합니다. A OCTANK VPC의 Private Subnet에 연결되어 있는 EC2에서 트래픽을 아래와 같이 생성합니다.
A OCTANK EC2에서 발생한 트래픽이 IT OCTANK EC2에서 정상적으로 복제되어 볼 수 있는지 확인합니다.
만약 트래픽이 정상적으로 Target에 복제되지 않는 경우, 대부분 Security Group이슈입니다. Target에 적용되어 있는 Security Group에는 반드시 Inbound Rule에 UDP 4789 port가 허용되어야 합니다. 그 이유는 VXLAN 표준 Overlay는 UDP 4789를 사용하기 때문에 , Inbound Rule에서 허용되어 있지 않으면 모두 Drop 됩니다.
TCP dupm, tshark 등의 일반적인 분석 도구에서는 [그림 5.5.10] 처럼 볼 수 없습니다. 그 이유는 VXLAN으로 Encapsulation 되어 있기 때문입니다. Decoding 할 수 있는 filter가 탑재된 솔루션들이 VXLAN을 Decoding 할 수 있습니다. 따라서 만약 Target을 3rd Party Solution을 직접 연결한다면, 반드시 해당 솔루션은 VXLAN Decoding을 할 수 있어야 합니다.
