TIL

04. VPC 트래픽 미러링 (VPC Traffic Mirroring)

4.1 VPC 트래픽 미러링 개요

4.1.1 VPC 트래픽 미러링이란?

• 네트워크 환경에서 발생하는 트래픽을 복제하여 특정 장치로 전달하여 모니터링할 수 있는 기능
• VPC 플로우 로그와의 유사하지만 차이가 있다.

VPC 플로우 로그	VPC 트래픽 미러링
VPC 상 네트워크 플로우를 로그 형태로 표현	VPC 상 실제 네트워크 패킷 정보를 수집
타깃: S3 버킷이나 CloudWatch Logs로 전달	타깃: 다른 ENI나 NLB로 전달
구조: 레코드 형태로 제한된 필드 정보 제공	구조: 실제 네트워크 패킷

• 트래픽의 상세한 분석이나 기초 자료 결과를 확인하고 싶을 경우 VPC 트래픽 미러링을 이용할 수 있다.

4.1.2 VPC 트래픽 미러링 구성

• 미러 소스 (Mirror Source)
  • 트래픽 미러링을 수행할 대상
  • VPC 내의 AWS 리소스
  • ENI(Elastic Network Interfaces)를 미러 소스로 사용 가능
• 미러 타깃 (Mirror Target)
  • 복제된 트래픽을 전달할 목적지 대상
  • 미러 타깃은 소스와 다른 ENI, NLB 등이 될 수 있다.
  • 소스와 타깃은 동일한 대상이 될 수 없다.
• 미러 필터 (Mirror Filter)
  • IP 대역, 프로토콜, 포트 번호 등을 지정해 트래픽 대상을 지정할 수 있다.
  • 인바운드, 아웃바운드 방향성에 따라 지정
  • 미러 필터가 존재하지 않으면 트래픽 미러링을 수행하지 않는다.
• 미러 세션 (Mirror Session)
  • 미러 소스와 미러 타깃 간 연결을 말하는 단위
  • 미러 세션을 통해 소스와 타깃을 지정하고 필터를 연결하여 미러링 연결 구성을 생성한다.

4.2 VPC 트래픽 미러링 동작 및 제약 사항

4.2.1 VPC 트래픽 미러링 동작

1. 복제된 트래픽을 전달 받을 미러 타깃 지정
2. 미러 필터 구성
3. 미러 세션 생성
4. 발생한 트래픽을 미러 필터에서 매칭 여부 판단
5. 필터에 매칭이 될 경우 트래픽을 복제하여 미러 타깃에 전달
   1. 해당 트래픽은 VXLAN 터널링에 의해 보호되어 전달된다.
   2. VXLAN: Virtual Extensible Local Area Network

4.2.2 VPC 트래픽 미러링 제약 사항

• EC2 인스턴스 유형의 제약
  • EC2 유형 중 Nitro 유형만 지원을 한다.
• 미러 소스와 미러 타깃의 위치
  • 소스와 타깃은 동일한 VPC 내에 있어야 한다.
  • 다른 VPC라면 VPC 피어링이나 전송 게이트웨이를 통해 연결되어 있어야 한다.
• 미러 세션 수
  • 계쩡당 1,000개의 세션 제약이 있다.
  • 네트워크 인터페이스(ENI) 당 3개의 세션 제약이 있다.
• 트래픽의 프로토콜 제약
  • ARP, DHCP, NTP, EC2 메타데이터 등에 대해 트래픽 미러링을 할 수 없다.