[全体的な VPC フロー量] のアクティビティの詳細 - Amazon Detective
アクティビティの詳細の内容アクティビティの詳細のソートアクティビティの詳細のフィルタリングアクティビティの詳細の時間範囲の選択選択した行のトラフィック量の表示EKS クラスターの VPC フロートラフィックを表示する共有されている Amazon VPC の VPC フロートラフィックを表示する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

[全体的な VPC フロー量] のアクティビティの詳細

EC2 インスタンスについては、[Overall VPC flow volume] (全体的な VPC のフロー量) のアクティビティの詳細には、選択した時間範囲中の EC2 インスタンスと IP アドレス間のインタラクションが表示されます。

Kubernetes ポッドの場合、[全体的な VPC フロー量] には、すべての送信先 IP アドレスについて、Kubernetes ポッドによって割り当てられた IP アドレスに出入りするバイト総数が表示されます。hostNetwork:true の場合、Kubernetes ポッドの IP アドレスは一意ではなくなります。この場合、パネルには、同じ設定を持つ他のポッドへのトラフィックと、それらのポッドをホストしているノードが表示されます。

IP アドレスについては、[Overall VPC flow volume] (全体的な VPC のフロー量) のアクティビティの詳細には、選択した時間範囲中の IP アドレスと EC2 インスタンス間のインタラクションが表示されます。

単一の時間間隔のアクティビティの詳細を表示するには、チャートで時間間隔を選択します。

現在のスコープ時間のアクティビティの詳細を表示するには、[display details for scope time] (スコープ時間の詳細を表示) を選択します。

アクティビティの詳細の内容

コンテンツには、選択した時間範囲中のアクティビティが反映されます。

EC2 インスタンスについては、アクティビティの詳細には、IP アドレス、ローカルポート、リモートポート、プロトコル、および方向の一意の各組み合わせのエントリが含まれます。

IP アドレスについては、アクティビティの詳細には、EC2 インスタンス、ローカルポート、リモートポート、プロトコル、および方向の一意の各組み合わせのエントリが含まれます。

各エントリには、インバウンドトラフィックの量、アウトバウンドトラフィックの量、およびアクセスリクエストが受け入れられたか否かが表示されます。検出結果のプロファイルの [Annotations] (注釈) 列を確認することで、IP アドレスが現在の検出結果に関連付けられているかどうかを知ることができます。

[全体的な VPC フロー量] プロファイルパネルのアクティビティの詳細。

アクティビティの詳細のソート

テーブル内の任意の列でアクティビティの詳細をソートすることができます。

デフォルトでは、アクティビティの詳細は注釈でソートされ、次にインバウンドトラフィックでソートされます。

アクティビティの詳細のフィルタリング

特定のアクティビティに焦点を当てるには、次の値でアクティビティの詳細をフィルタリングできます。

  • IP アドレスまたは EC2 インスタンス

  • ローカルポートまたはリモートポート

  • Direction

  • プロトコル

  • リクエストが受け入れられたか拒否されたか

フィルターを追加および削除するには

  1. フィルターボックスを選択します。

  2. [Properties] (プロパティ) から、フィルタリングに使用するプロパティを選択します。

  3. フィルタリングに使用する値を入力します。フィルターは部分的な値をサポートします。

    IP アドレスでフィルタリングするには、値を指定するか、組み込みフィルターを選択します。

    [CIDR patterns] (CIDR パターン) については、パブリック IP アドレス、プライベート IP アドレス、または特定の CIDR パターンに一致する IP アドレスのみを含めるように選択できます。

  4. 複数のフィルターがある場合は、ブールオプションを選択して、これらのフィルターの接続方法を設定します。

    アクティビティ詳細フィルターの個々のフィルター間で使用可能なコネクタのリスト。

  5. フィルターを削除するには、右上にある x アイコンを選択します。

  6. すべてのフィルターをクリアするには、[Clear filter] (フィルターをクリア) を選択します。

アクティビティの詳細の時間範囲の選択

アクティビティの詳細を最初に表示する場合、時間範囲はスコープ時間または選択した時間間隔のいずれかになります。アクティビティの詳細の時間範囲を変更できます。

アクティビティの詳細の時間範囲を変更するには

  1. [編集] を選択します。

  2. [Edit time window] (時間枠を編集) で、使用する開始時刻と終了時刻を選択します。

    時間枠をプロファイルのデフォルトのスコープ時間に設定するには、[Set to default scope time] (デフォルトのスコープ時間に設定) を選択します。

  3. [Update time window] (時間枠を更新) を選択します。

アクティビティの詳細の時間範囲は、プロファイルパネルチャートで強調表示されます。

[全体的な VPC フロー量] プロファイルパネルのアクティビティの詳細に関する強調表示された時間枠。

選択した行のトラフィック量の表示

関心のある行を特定すると、主要なグラフで、それらの行のトラフィック量を時間の経過に合わせて表示できます。

グラフに追加する行ごとに、チェックボックスを選択します。選択した各行について、インバウンドチャートまたはアウトバウンドのグラフに量が線で表示されます。

[全体的な VPC フロー量] プロファイルパネルのメインチャートに表示される、選択したアクティビティの詳細行のトラフィック。

選択したエントリのトラフィック量を重点的に確認するには、全体的な量を非表示にします。全体的なトラフィックを表示したり、非表示にしたりするには、[Overall traffic] (全体的なトラフィック) を切り替えます。

[Overall VPC flow volume] (全体的な VPC のフロー量) プロファイルパネルのメインチャートに表示される、選択したアクティビティの詳細行のトラフィック。全体的なトラフィックは非表示になります。

EKS クラスターの VPC フロートラフィックを表示する

Detective は、Amazon Elastic Kubernetes Service (Amazon EKS) クラスターを通過するトラフィックを表す Amazon Virtual Private Cloud (Amazon VPC) フローログを可視化します。Kubernetes リソースの場合、VPC フローログの内容は、EKS クラスターにデプロイされた Container Network Interface (CNI) によって異なります。

デフォルト設定の EKS クラスターは Amazon VPC CNI プラグインを使用します。詳細については、「Amazon EKS ユーザーガイド」の「Working with the Amazon VPC CNI plugin for Kubernetes Amazon EKS add-on」を参照してください。Amazon VPC CNI プラグインは、ポッドの IP アドレスを使用して内部トラフィックを送信し、送信元 IP アドレスを外部通信用ノードの IP アドレスに変換します。Detective は、内部トラフィックをキャプチャして正しいポッドに関連付けることができますが、外部トラフィックについては同じことを行うことはできません。

Detective にポッドの外部トラフィックを可視化させたい場合は、外部送信元ネットワークアドレス変換 (Source Network Address Translation: SNAT) を有効にします。SNAT の有効化には制限と欠点があります。詳細については、「Amazon EKS ユーザーガイド」の「Pods の SNAT」を参照してください。

別の CNI プラグインを使用する場合は、Detective が hostNetwork:true 設定のポッドを可視化する際に制限を受けます。これらのポッドの場合、[VPC フロー] パネルにはポッドの IP アドレスの全トラフィックが表示されます。このトラフィックには、ホストノード上のhostNetwork:true 設定の全ポッドとホストノード自体のトラフィックが含まれます。

Detective は、 [VPC フロー] パネルに、次の EKS クラスター設定の EKS ポッドのトラフィックを表示します。

  • Amazon VPC CNI プラグインを使用するクラスター。このクラスターには、VPC 内でトラフィックを送信する hostNetwork:false 設定の任意のポッドも含まれています。

  • Amazon VPC CNI プラグインと設定 AWS_VPC_K8S_CNI_EXTERNALSNAT=true を使用するクラスターの場合: VPC外でトラフィックを送信する hostNetwork:false を持つ任意のポッド。

  • hostNetwork:true 設定を持つ任意のポッド。本ノードのトラフィックは、hostNetwork:true 設定を持つ他のポッドのトラフィックと混在します。

Detective は、以下のトラフィックを [VPC フロー] パネルに表示しません。

  • Amazon VPC CNI プラグインと AWS_VPC_K8S_CNI_EXTERNALSNAT=false 設定を使用するクラスターの場合: VPC 外でトラフィックを送信する hostNetwork:false 設定を持つ任意のポッド。

  • Amazon VPC CNI Plugin for Kubernetes を使用していないクラスターの場合: hostNetwork:false 設定を持つ任意のポッド。

  • 同じノードでホストされている別のポッドにトラフィックを送信する任意のポッド。

共有されている Amazon VPC の VPC フロートラフィックを表示する

Detective は、共有 VPC の Amazon Virtual Private Cloud (Amazon VPC) フローログを可視化します。

  • Detective メンバーアカウントに共有 Amazon VPC が含まれており、その共有 VPC を使用している他の非 Detective アカウントがある場合は、Detective はその VPC からのすべてのトラフィックを監視し、VPC 内のすべてのトラフィックフローを視覚化します。

  • 共有 Amazon VPC 内に Amazon EC2 インスタンスがあり、共有所有者が Detective メンバーでない場合は、Detective は VPC からのトラフィックをモニタリングしません。VPC 内のトラフィックフローを表示する場合は、Amazon VPC 所有者を Detective グラフのメンバーとして追加する必要があります。