概要
通信問題が発生した時はデータセンターにWireshark PC持ち込んで、Switchにミラー設定して
Wiresharkでパケットキャプチャして解析ということをよくやっています。パブリッククラウド内で通信問題発生した時にPC持ち込んで調査というわけにはいかないのですが、特定NICのパケットをミラーリングしてくれるサービスがありますので今回はOracle Cloud(OCI)を使って設定検証してみました。
検証構成
OCI内にWebサーバとLoadBalancerを構築してPCから簡単なhttp通信ができるようにします。
今回はWebサーバの入出力パケットとLoadBalancerの入出力パケットを取得します。
取得はVTAPの機能を使ってミラーリングされたパケットがNLBを通じてNLB配下のホストに転送されます。
https://docs.oracle.com/ja/solutions/oci-network-vtap-wireshark/index.html#GUID-3196621D-12EB-470A-982C-4F7F6F3723EC
今回はNLB転送先はWindows上にWiresharkをインストールして確認します。
検証設定
Wireshark PC、NLB設定、VTAP取得フィルタ、VTAP設定が必要なようです。
まずはWireshark PC設定から行っていきます
■Wireshark PC
Windowsサーバをデプロイ
Wiresharkをインストール
適切なFirewallルールを設定
適切なNSG,Security Listを設定
■NLB
OCIコンソールからネットワーキング>ロードバランサー>ロードバランサーの作成
【詳細の追加】
ロードバランサ名の入力
可視性タイプの選択
設置するセグメントの選択
(ネットワークセキュリティグループは任意。今回は検証のため設定していますがセキュリティを考慮して適切に設定されることをおすすめします)
【リスナーの構成】
リスナー名の入力
リスナーで処理するトラフィックタイプはUCP/TCP/ICMPを指定
【バックエンドの選択】
バックエンドセット名の入力
ソース・ヘッダー(IP、ポート)の保持(バックエンド・セット)はソースIPの保持されていることを確認
バックエンドサーバーはWireshark導入したPCを選択
ヘルスチェックポリシーはポート80を選択
■VTAP 取得フィルタ
ネットワーキング>ネットワーク・コマンド・センター>取得フィルタの作成
名前の入力
ルール設定
今回はイングレス、エグレスともにすべて対象としています。通信負荷を下げるため可能であればフィルタすることも要検討です
■VTAP
ネットワーキング>ネットワーク・コマンド・センター>VTAPの作成
名前の入力
ソース
パケット取得するVMまたはLBを選択します
ターゲット
先程設定したNLBを指定します
取得フィルタ
先程設定した取得フィルタを指定します
拡張オプション 優先順位モード
デフォルトではミラーパケットは本番パケットよりも優先度が低く設定されています
チェックをつけることにより本番パケットと同等の優先になるようです
設定が完了すると起動ボタンを押下します。ステータスが実行中になることを確認します
検証結果
■PC~Webサーバ間通信をPCとWebサーバにてパケットキャプチャ
3wayハンドシェイクのWebサーバからのSYN-ACKがWebサーバ側ではキャプチャできていません。
それ以外は綺麗に取れています。
Webサーバ側でパケット順番はひっくり返っていますがきっとどこかのLAN内でアグリゲーションしていてパケット順序が変わっただけかと思います。
■PC~Webサーバ間通信をPCとLoadBalancerにてパケットキャプチャ
続いてLoadBalancerでも取得できるかテストしました。
前のテストと同様に3wayハンドシェイクのWebサーバからのSYN-ACKがWebサーバ側ではキャプチャできていません。
それ以外は綺麗に取れています。
キャプチャ設定の考慮
パケットキャプチャーはLAN環境や取得PCのスペックによって正常に取得できないことがあります(これはオンプレ環境でも同じ)
正確に取得できなかった場合いくつか方法を検討することが必要と感じました
- 取得PCのスペックを上げる。ケチって1vcpu, 8GBメモリでテストするとパケットが正確にとれなかったので2vcpu, 16GBメモリで行いました。
- Wiresharkをコマンドで実施する
- WindowsからLinuxに変えてみる
- VTAPの優先モードを変えてみる
また、なぜかサーバのSYN-ACKパケットは何度キャプチャしてもとれませんでした。
何か取得設定漏れがあるのかもしれませんが、SYN-ACKに対してのPCからのACKは取れているので特に問題ではありません
上記の考慮点があったとしてもパケットキャプチャできるのはネットワークトラブルシューティングする際には非常に有効な手段かと思います。
郊外のDCにパソコン持ち込んで作業するようなことしなくてすみます。