帯域外統合の概要

ワークロードのネットワーク トラフィックを大規模に分析するには、アウトオブバンドの Network Security Integration サービスである Packet Mirroring を使用します。Packet Mirroring を使用すると、サードパーティの仮想アプライアンスを使用してネットワーク トラフィックをモニタリングできます。

Packet Mirroring は、ファイアウォール ポリシーのミラーリング ルールで指定されたフィルタリング条件に基づいてネットワーク トラフィックのクローンを作成します。このミラーリングされたトラフィックは、ディープ パケット インスペクションのためにサードパーティの仮想アプライアンスのデプロイに送信されます。

Packet Mirroring では、IP ペイロードとヘッダーを含むすべてのパケットデータがキャプチャされます。ミラーリングされたネットワーク トラフィックを分析して、ネットワークとアプリケーションのパフォーマンスをモニタリングし、ネットワーク内の脅威を検出できます。

Packet Mirroring は、リージョン デプロイをサポートするゾーンサービスです。ただし、ミラーリング デプロイのコンシューマーとプロデューサーが異なるゾーンにある場合は、ゾーン間トラフィックに対して課金されます。ミラーリング デプロイの信頼性を高めるには、ミラーリング ソースと同じゾーンに別のプロデューサー デプロイを作成することをおすすめします。これにより、ゾーン間のトラフィック料金を最小限に抑え、ミラーリング設定の全体的な信頼性を向上させることができます。

帯域外統合を使用するメリット

アウトオブバンド統合には、次の利点があります。

  • きめ細かいトラフィック照合機能: きめ細かいトラフィック照合機能を使用すると、ファイアウォール ポリシーの一部としてミラーリング ルールを指定できます。これにより、ミラーリング ルールを定義するときにグローバル ネットワーク ファイアウォール ポリシーを使用できます。これらのルールを使用すると、送信元または宛先の IP アドレス、プロトコル、宛先ポート範囲などのさまざまな条件に基づいて、特定のトラフィックをミラーリングできます。ミラーリング ルールの詳細については、ミラーリング ルールをご覧ください。

  • 除外フィルタ: ミラーリング ルールで DO_NOT_MIRROR アクションを使用して、除外フィルタを定義できます。これにより、ミラーリング ルール内の特定のトラフィックを無視できます。

  • Geneve カプセル化: ミラーリングされたトラフィックは Geneve を使用してカプセル化されます。これにより、検査のためにサードパーティ アプライアンスに配信されるときに、元のパケットを保持できます。詳細については、GENEVE 形式についてをご覧ください。

    元のパケットに加えて、geneve-encapsulation にはミラーリング ソースに関する情報も含まれます。ミラーリング エンドポイント グループにリダイレクトされる各パケットに、一意の Virtual Private Cloud(VPC)ネットワーク識別子を追加します。IP アドレス範囲が重複する複数の VPC ネットワークがある場合、このネットワーク識別子により、リダイレクトされる各パケットが VPC ネットワークに正しく関連付けられます。

  • ミラーリング コレクタ as-a-service: サードパーティ製アプライアンスの運用管理を一元化し、組織内のさまざまなアプリケーション チームにサービスとして提供できます。この一元化されたアプライアンスのデプロイは、チームの編成方法に応じて、別のプロジェクトまたは別の組織に配置できます。

アウトオブバンド統合のデプロイモデル

アウトオブバンド統合は、プロデューサー / コンシューマー モデルに基づいています。このモデルでは、コンシューマーはプロデューサーが提供するサービスを使用します。

図 1 は、アウトオブバンド統合サービスのデプロイ アーキテクチャの概要を示しています。

アウトオブバンド統合サービスのデプロイ アーキテクチャの概要。
図 1. アウトオブバンド統合サービスのデプロイ アーキテクチャの概要(クリックして拡大)。

プロデューサー コンポーネント

プロデューサー VPC ネットワークには、コンシューマー ネットワークから Geneve カプセル化パケットを受信できる一連のロードバランスされたコレクタ インスタンスが含まれています。インスタンス グループ内のインスタンスは、コレクタ インスタンスと呼ばれます。

コレクタ インスタンスを指定するときは、内部パススルー ネットワーク ロードバランサに関連付けられている転送ルールの名前を入力します。すると、 Google Cloudはミラーリングされたトラフィックをコレクタ インスタンスに転送します。Packet Mirroring の転送ルールを構成しなければならない点を除くと、Packet Mirroring の内部ロードバランサは他の内部ロードバランサと似ています。ミラーリング対象でないトラフィックがロードバランサに送信されると、そのトラフィックは破棄されます。

ミラーリング デプロイ グループとミラーリング デプロイ

ミラーリング デプロイは、コレクタ インスタンスのフロントエンドとして機能する内部パススルー ネットワーク ロードバランサの転送ルールを指すゾーンリソースです。これらのミラーリング デプロイは、プロジェクト内の異なるロケーションにまたがるミラーリング デプロイ グループにグループ化され、使用と管理が容易になります。

コンシューマー ネットワーク内のミラーリング エンドポイント グループは、ミラーリングされたトラフィックを対応するミラーリング デプロイ グループに送信します。ミラーリング デプロイ グループは、ミラーリング ソースと同じゾーンにあるミラーリング デプロイにトラフィックを送信して検査します。

デプロイ グループとデプロイの詳細については、ミラーリング デプロイ グループの概要ミラーリング デプロイの概要をご覧ください。

コンシューマー コンポーネント

ミラーリング対象のソースは、ミラーリング ルールのターゲット、ソース、宛先パラメータを使用して選択できる Compute Engine 仮想マシン(VM)インスタンスです。1 つ以上のソースタイプを指定できます。インスタンスが指定のタイプに一致すると、インスタンスがミラーリングされます。

パケット ミラーリングは、パケット ミラーリング ポリシーが適用されるネットワークに存在するインスタンスのネットワーク インターフェースからトラフィックを収集します。別のポリシーが構成されていない限り、インスタンスに複数のネットワーク インターフェースがあっても他のインターフェースはミラーリングされません。

以降のセクションでは、コンシューマー ネットワークのコンポーネントについて説明します。

ミラーリング エンドポイント グループ

ミラーリング エンドポイント グループは、プロデューサーのミラーリング デプロイ グループに直接対応するコンシューマー側のプロジェクト レベルのリソースです。個々の VPC ネットワークをミラーリング エンドポイント グループに関連付けて、トラフィック ミラーリングを有効にできます。

セキュリティ管理者が所有するプロジェクトにミラーリング エンドポイント グループを作成することをおすすめします。ミラーリング エンドポイント グループの関連付けを作成するには、セキュリティ管理者がこのプロジェクトまたはネットワーク管理者にミラーリング エンドポイント管理者ロール(roles/networksecurity.mirroringAdmin)とミラーリング エンドポイント ネットワーク管理者ロール(roles/networksecurity.mirroringEndpointNetworkAdmin)を付与する必要があります。

ミラーリング エンドポイント グループの詳細については、ミラーリング エンドポイント グループの概要をご覧ください。

ミラーリング エンドポイント グループの関連付け

ミラーリング エンドポイント グループの関連付けでは、トラフィックをミラーリングしてプロデューサー デプロイ グループに転送し、検査する必要があるコンシューマー VPC ネットワークを指定します。

ミラーリング エンドポイント グループは、ミラーリングされたトラフィックをプロデューサー ネットワーク内の対応するデプロイ グループに送信します。ただし、ミラーリングされたトラフィックを検査する必要があるコンシューマー VPC ネットワークを指定するには、VPC ネットワークとミラーリング エンドポイント グループの関連付けを作成します。

ミラーリング エンドポイント グループの関連付けを作成すると、ファイアウォール ポリシーのミラーリング ルールによって、関連付けられた VPC ネットワークからミラーリングするパケットが決定されます。ミラーリング エンドポイント グループの関連付けが作成されていない場合、ミラーリング ルールは無視され、パケットは検査のためにデプロイ グループに送信されません。

エンドポイント グループの関連付けの詳細については、ミラーリング エンドポイント グループの関連付けを作成して管理するをご覧ください。

ファイアウォール ポリシーとルール

コンシューマー VPC ネットワークでは、ネットワーク ファイアウォール ポリシーを使用して、ミラーリングして検査するトラフィックを選択します。ファイアウォール ポリシーには次のルールが含まれています。

  • ファイアウォール ポリシー ルール: コンシューマー VM との間でデータパケットの上り(内向き)または下り(外向き)を許可または拒否します。ファイアウォール ポリシー ルールは、次のいずれかのアクションを実行できます。

    • ALLOW: トラフィックを許可し、優先度の低い他のファイアウォール ポリシー ルールの評価を停止します。
    • DENY: トラフィックを禁止し、優先度の低い他のファイアウォール ポリシールールの評価を停止します。
    • GOTO_NEXT: ルールの評価プロセスを続行します。

ファイアウォール ポリシールールの詳細については、ファイアウォール ポリシールールの概要をご覧ください。

  • ミラーリング ルール: 上り(内向き)または下り(外向き)のデータパケットがミラーリングされるかどうかを決定します。ミラーリング ルールは、次のいずれかのアクションを実行できます。

    • MIRROR: トラフィック フローのミラーリングを許可し、他の優先度の低いミラーリング ルールの評価を停止します。
    • DO_NOT_MIRROR: トラフィック フローのミラーリングを禁止し、優先度の低い他のミラーリング ルールの評価を停止します。DO_NOT_MIRROR アクションを使用して、ミラーリングする必要のないトラフィック フローをきめ細かくフィルタします。

    • GOTO_NEXT: 接続評価を下位レベルに委任するために使用できるアクション。次のいずれかの条件が満たされると、ミラーリング ルールで後続のルールの処理が許可されます。

      • アクションが goto_next の場合、評価は次のルールに進みます。そのため、複数の goto_next ルールが互いの動作に影響することはありません。
      • 受信トラフィックが既存のルールと一致しない場合、システムはデフォルトで goto_next アクションを実行します。これは、現在のポリシーレベルで関連するアクションが見つからなかったため、評価が次の下位レベルに進むことを意味します。

ミラーリング ルールのポリシーとルールの評価順序

ミラーリング ルールは、グローバル ネットワーク ファイアウォール ポリシーに追加できます。ファイアウォール ポリシールールと同様に、ミラーリング ルールは優先度の高い順に評価されます。優先度が最も高いのは 0 です。ファイアウォール ポリシー内の各ミラーリング ルールには一意の優先度が必要です。トラフィック フローがミラーリング ルールと一致する場合、アウトオブバンド統合はパケットをミラーリングし、優先度の低いミラーリング ルールの評価をスキップします。

ファイアウォール ポリシーでミラーリング ルールが構成されている場合、ルールの評価順序は、VM に入るトラフィックまたは VM から出るトラフィックの方向に基づきます。

  • 上り(内向き)の場合、トラフィックはまずファイアウォール ポリシー ルールの評価順序に基づいて評価されます。

    • ファイアウォール ルールで上り(内向き)トラフィックが許可されている場合、トラフィックはミラーリング ルールに対して評価されます。ミラーリング ルールの動作に基づいて、トラフィックがミラーリングされるかどうかが決まります。
    • ファイアウォール ルールで上り(内向き)トラフィックが許可されていない場合、トラフィックはミラーリング ルールに対して評価されません。ファイアウォール ルールによってブロックされたトラフィック パケットはドロップされ、ミラーリングされません。

  • 下り(外向き)の場合、トラフィックはまずミラーリング ルールに対して評価されます。ミラーリング ルールに指定されたアクションに基づいて、トラフィックがミラーリングされるかどうかが決まります。その後、トラフィックは下り(外向き)ファイアウォール ポリシールールの評価順序に従って評価されます。

セキュリティ プロファイルとセキュリティ プロファイル グループ

ミラーリング ルールは、セキュリティ プロファイル グループ内のセキュリティ プロファイルを参照して、ミラーリングされたトラフィックの詳細なパケット検査を実装します。ミラーリング ルールに一致するトラフィックは、ミラーリング ルールのセキュリティ プロファイルで参照されるミラーリング エンドポイント グループにミラーリングされます。サードパーティの検査用にミラーリング エンドポイント グループを指すカスタム セキュリティ プロファイルを含むセキュリティ プロファイル グループを作成する必要があります。ミラーリング ルールを作成するときに、--security-profile-group フラグを使用してセキュリティ プロファイル グループをルールに関連付けます。セキュリティ プロファイルとセキュリティ プロファイル グループはどちらも組織レベルのリソースです。

セキュリティ プロファイルとセキュリティ プロファイル グループの詳細については、セキュリティ プロファイルの概要セキュリティ プロファイル グループの概要をご覧ください。

帯域外統合の仕組み

アウトオブバンド統合では、パケット ミラーリング テクノロジーを使用して、コンシューマー VPC ネットワークからトラフィック データをコピーし、ミラーリング エンドポイント グループを介してプロデューサー VPC ネットワークに送信します。Packet Mirroring は、トラフィックを次の順序で処理します。

  1. ネットワーク ファイアウォール ポリシーは、ネットワーク内の VM との間で送受信されるトラフィックに適用されます。
  2. ポリシー内のミラーリング ルールに一致するトラフィックがミラーリングされ、ミラーリングされたパケットは Geneve を使用してカプセル化され、元のパケットが保持されます。
  3. ネットワーク ファイアウォール ポリシーで指定されたセキュリティ プロファイル グループのセキュリティ プロファイルに基づいて、ミラーリングされたトラフィックがミラーリング エンドポイント グループに送信されます。
  4. ミラーリング エンドポイント グループは、ディープ パケット インスペクションのために、パケットをターゲット ミラーリング デプロイ グループ内の対応するミラーリング デプロイに安全に転送します。
  5. プロデューサーのミラーリング デプロイ グループの内部パススルー ロードバランサは、ロードバランサのバックエンドとして構成されたサードパーティの仮想アプライアンス間でパケット フローを分散します。
  6. バックエンドのサードパーティ仮想アプライアンスは、パケットを処理して詳細なパケット検査を実行します。

仕様

以降のセクションでは、アウトオブバンド統合の仕様について説明します。

全般的な仕様

  • Packet Mirroring では、すべてのレイヤ 4 プロトコルがサポートされています。
  • プロデューサー側で IAM 権限を作成して、プロデューサーのデプロイ グループに接続できるコンシューマーを制御できます。
  • プロデューサー プロジェクトとコンシューマー プロジェクトは同じ組織に配置することをおすすめします。ただし、異なる組織に配置することもできます。
  • プロデューサーとコンシューマーを同じ VPC ネットワークで構成しないでください。ミラーリング ループが発生します。
  • ミラーリング デプロイ グループからの Geneve カプセル化パケット(UDP:6081)を許可するように、プロデューサーの VPC ネットワークでファイアウォール ポリシー ルールを構成する必要があります。また、内部パススルー ネットワーク ロードバランサからのヘルスチェック プローブも許可するようにファイアウォール ポリシー ルールを構成する必要があります。詳細については、グローバル ネットワーク ファイアウォール ポリシーとルールを使用するをご覧ください。
  • 帯域外統合は、ゾーン間のミラーリングをサポートしています。プロデューサー側の内部ロードバランサ バックエンドのゾーンを選択することで、クロスゾーン ミラーリングまたは同一ゾーン ミラーリングを構成できます。
  • ミラーリング ルールは、ファイアウォール ルールと同様にセッション ベースです。ミラーリング ルールは、セッション イニシエータに従ってミラーリングする必要があるセッションを指定します。ミラーリングされたセッションでは、上り(内向き)トラフィックと下り(外向き)トラフィックの両方のすべてのパケットがミラーリングされます。
  • --is_mirroring_collector フラグを指定して Packet Mirroring の転送ルールを構成しなければならない点を除くと、Packet Mirroring の内部ロードバランサは他の内部ロードバランサと似ています。ミラーリング対象でないトラフィックがロードバランサに送信されると、そのトラフィックは破棄されます。Packet Mirroring 用に内部パススルー ネットワーク ロードバランサを構成する方法の詳細については、Packet Mirroring 用のロードバランサを作成するをご覧ください。

トラフィックのミラーリング

  • パケット ミラーリングは、ミラーリング ルールを含むネットワーク ファイアウォール ポリシーが適用される VPC ネットワークに接続されている VM のネットワーク インターフェースからのみトラフィック データを収集します。インスタンスに複数のネットワーク インターフェースがある場合は、ネットワーク インターフェースごとに個別のネットワーク ファイアウォール ポリシーを構成する必要があります。
  • ミラーリング トラフィックは、ミラーリングされたインスタンスで帯域幅を消費します。たとえば、ミラーリング対象のインスタンスで 1 Gbps の上り(内向き)トラフィックと 1 Gbps の下り(外向き)トラフィックが発生した場合、このインスタンスの合計トラフィックは上り(内向き)トラフィックが 1 Gbps、下り(外向き)トラフィックが 3 Gbps になります。下り(外向き)のトラフィックでは、通常の下り(外向き)トラフィックとして 1 Gbps が、ミラーリングされた下り(外向き)トラフィックとして 2 Gbps が発生しています。収集するトラフィックを制限するには、フィルタを使用します。
  • 同じ Google Kubernetes Engine ノード上の Pod 間で送受信されるトラフィックをミラーリングするには、クラスタのノード内の可視化を有効にする必要があります。

フィルタリング

  • ミラーリング ルールを使用して、IPv4 トラフィックと IPv6 トラフィックの両方で、ミラーリングされたインスタンスのトラフィックをフィルタできます。
  • ミラーリング ルールを使用すると、ミラーリングされるトラフィックの量を絞り込むことができます。これにより、必要なトラフィックのみをミラーリングすることで、帯域幅の使用量を制限できます。
  • プロトコル、クラスレス ドメイン間ルーティング(CIDR)範囲(IPv4、IPv6、またはその両方)、トラフィックの方向(上り(内向き)のみ、下り(外向き)のみ、またはその両方)、またはこれらの組み合わせに基づいてトラフィックを収集するようにミラーリング ルールを構成できます。

ファイアウォール ルールのロギング

ファイアウォール ルールのロギングでは、ミラーリングされたパケットはロギングされません。プロデューサー VM がファイアウォール ルール ロギングが有効になっているサブネットにある場合、プロデューサー VM に直接送信されたトラフィック(ミラーリングされた VM からのトラフィックを含む)はログに記録されます。つまり、元の宛先 IPv4 または IPv6 アドレスがプロデューサー VM の IPv4 または IPv6 アドレスと一致すると、フローがログに記録されます。ファイアウォール ルール ロギングの詳細については、ファイアウォール ルール ロギングの使用をご覧ください。

ユースケース

以下では、Packet Mirroring が必要になる事例について説明します。

エンタープライズ セキュリティ

セキュリティ チームとネットワーク エンジニアリング チームは、セキュリティ侵害や侵入の兆候を示す異常値や脅威をすべて把握する必要があります。このような場合は、不審なフローに対して包括的な検査を行えるように、すべてのトラフィックをミラーリングします。また、攻撃は複数のパケットにまたがることがあるため、セキュリティ チームはフローごとにすべてのパケットを取得する必要があります。

たとえば、次のセキュリティ ツールでは複数のパケットをキャプチャする必要があります。

  • 侵入検知システム(IDS)ツールでは、持続型の脅威を検出するため、単一フローの複数のパケットをシグネチャと照合する必要があります。

  • 詳細なパケット検査エンジンは、パケットのペイロードを検査してプロトコルの異常を検出します。

  • PCI コンプライアンスなどの法規制対応で使用されるネットワーク フォレンジックでは、ほとんどのパケットを検査する必要があります。Packet Mirroring は、珍しい通信や試行に失敗した通信など、さまざまな攻撃ベクトルをキャプチャできます。

アプリケーション パフォーマンスのモニタリング

ネットワーク エンジニアは、アプリケーション チームやデータベース チームから報告されたパフォーマンスの問題を解決する際に、ミラーリングされたトラフィックを利用できます。ネットワークの問題を確認するため、ネットワーク エンジニアはアプリケーションのログを調べるだけでなく、ネットワーク上で何が起きているかも調査します。

たとえば、ネットワーク エンジニアは Packet Mirroring のデータを使用して次の作業を行うことができます。

  • プロトコルや動作を分析して、パケット損失や TCP リセットなどの問題を検出し、解決します。

  • リモート デスクトップ、VoIP、その他のインタラクティブ アプリケーションからのトラフィック パターンをリアルタイムで分析します。ネットワーク エンジニアは、複数のパケットの再送や予想以上の再接続など、アプリケーションのユーザー エクスペリエンスに影響する問題を特定できます。

セキュリティ監査

必要に応じて、監査用のネットワーク関連の証拠を収集して保存できます。

VPC Packet Mirroring と Network Security Integration の Packet Mirroring の比較

次の表に、VPC Packet Mirroring と Network Security Integration の Packet Mirroring の違いを示します。

属性 VPC Packet Mirroring Network Security Integration のパケット ミラーリング
カプセル化 パケットはカプセル化なしでミラーリングされます。 パケットは Geneve でカプセル化されます。
ミラーリング ルールのセマンティクス ミラーリング ルールはパケット単位で評価されます。VPC パケット ミラーリング ポリシーでは、セッションの片側のみをミラーリングするように指定できます。 ミラーリングはセッション ベースです。また、ミラーリング ルールでは、mirror または do-not-mirror のいずれか 1 つを指定できます。これらのオプションを使用すると、ミラーリングするトラフィックとミラーリングしないトラフィックを選択できます。
ミラーリング ルールのフィルタ ミラーリング ルールでは、送信元(src)と宛先(dst)の IP アドレスとプロトコルでフィルタリングできます。 VPC Packet Mirroring と同じですが、宛先ポート範囲が追加されています。
サードパーティ アプライアンスのサポート
階層型ファイアウォール ポリシーでサポート
リージョン ネットワーク ファイアウォール ポリシーでサポート
グローバル ネットワーク ファイアウォール ポリシーでサポート

VPC Packet Mirroring と Network Security Integration Packet Mirroring の相互運用性

ワークロード レベルでは、Network Security Integration の Packet Mirroring が VPC Packet Mirroring よりも優先されます。ワークロードに Network Security Integration Packet Mirroring 構成がある場合、データプレーンは既存の VPC Packet Mirroring 構成を無視します。これは、Network Security Integration の Packet Mirroring 構成がワークロードに暗黙的に適用されている場合でも同様です。

たとえば、既存の VPC Packet Mirroring ポリシーが HTTP トラフィックと ICMP トラフィックの両方をミラーリングするように構成されているとします。お客様が HTTP をミラーリングするミラーリング ルールを使用して Network Security Integration Packet Mirroring 構成を作成すると、このルールはグローバル ネットワーク ファイアウォール ポリシーで有効になり、プロジェクトに関連付けられます。その結果、Network Security Integration Packet Mirroring 構成が VPC Packet Mirroring ポリシーよりも優先され、パケット処理中に次の変更が行われます。

  • HTTP トラフィックは、Network Security Integration のパケット ミラーリング構成に従ってミラーリングされます。つまり、すべての HTTP トラフィックが、ディープ パケット インスペクションのために指定された宛先に送信されます。
  • データ プレーンは、すべてのワークロードのすべての VPC Packet Mirroring 構成を無視します。つまり、VPC パケット ミラーリング ポリシーで構成された ICMP トラフィック ミラーリングが終了し、ICMP トラフィックはミラーリングされなくなります。

この動作の変更は、ネットワークに大きな影響を与える可能性があります。たとえば、ICMP トラフィック ミラーリングを使用してネットワークの問題をトラブルシューティングしている場合、Network Security Integration Packet Mirroring の構成が適用されると、その操作はできなくなります。

制限事項

  • プロデューサーのデプロイでサポートされている内部ロードバランサのタイプは、インスタンス グループのバックエンドを使用した内部パススルー ネットワーク ロードバランサのみです。つまり、プロデューサー デプロイでは ネットワーク エンドポイント グループ(NEG)バックエンド構成はサポートされていません。

  • ネットワーク パケットがミラーリング ルールと一致すると、Compute Engine は元のパケットとミラーリングされたパケットの両方を低速で処理します。パケット処理のレートは、マシンタイプ、パケットサイズ、CPU 使用率によって異なり、VPC ネットワーク外の下り(外向き)レートとほぼ同じです。ミラーリングされたトラフィックに完全なネットワークと処理速度が必要な場合は、サポートにお問い合わせのうえ、代替ソリューションについてご相談ください。

  • 第 3 世代のマシン ファミリー以降では、ミラーリングを有効にすることはおすすめしません。これは、低速ルートのレートによって、高帯域幅のネットワーキングのメリットが打ち消されるためです。

  • リージョン ネットワーク ファイアウォール ポリシーは、パケット ミラーリングをサポートしていません。

  • 各内部ロードバランサ転送ルールは、1 つのミラーリング デプロイに関連付けることができます。ミラーリング デプロイは、内部ロードバランサと同じプロジェクトに存在する必要があります。また、ミラーリング デプロイのゾーンは、内部ロードバランサのリージョン内に存在する必要があります。

  • ミラーリング ルールは、送信元セキュアタグをサポートしていません。

  • VPC は、最大で 1 つのミラーリング エンドポイント グループの関連付けに関連付けることができます。

  • apply_security_profile_group アクションを含むファイアウォール ルールに一致するトラフィックはミラーリングされません。このアクションを含むファイアウォール ルールは、ミラーリング構成をオーバーライドします。

次のステップ