如何為 Amazon VPC 設定 Traffic Mirroring？

簡短說明

Traffic Mirroring 是 Amazon VPC 的一項功能，可讓您從特定介面複製網路流量。當您必須執行下列動作時，請複製網路流量：

• 檢查內容
• 監控威脅
• 對問題進行疑難排解

AWSSupport-ConfigureTrafficMirroring 執行手冊會建立所需的目標、篩選器和工作階段。預設情況下，執行手冊會為除 Amazon DNS 以外的所有通訊協定，設定所有傳入與傳出流量的鏡像。您可以依您的使用案例修改傳入與傳出規則。

**注意：**Traffic Mirroring 並非適用於所有 Amazon VPC 設定。若要判斷您是否可使用 Traffic Mirroring，請參閱 Traffic Mirroring 限制。如需 Traffic Mirroring 的安全性最佳實務，請參閱 Traffic Mirroring 的身分與存取管理 。

解決方法

先決條件

在開始之前，請確定您的 AWS Identity and Access Management (IAM) 使用者或角色具有必要的權限。如需詳細資訊，請參閱 AWSSupport-ConfigureTrafficMirroring 中的必要 IAM 權限。

設定自動化工作流程

1. 開啟 AWS Systems Manager console (AWS Systems Manager 主控台)。

2. 在導覽窗格中，選擇 Documents (文件)。

3. 在搜尋列中，輸入 AWSSupport-ConfigureTrafficMirroring。

4. 選擇 AWSSupport-ConfigureTrafficMirroring。

5. 選擇 Execute automation (執行自動化)。

6. 在輸入參數，輸入下列資訊：

   (選用) **AutomationAssumeRole：**如果您有能代表您執行自動化執行手冊的 IAM 角色，請在此輸入該角色的 Amazon Resource Name (ARN)。如果您未指定角色，Systems Manager Automation 會使用您目前 IAM 使用者的權限來啟動執行手冊。

   **SourceENI：**輸入您要為其設定流量鏡像的彈性網路介面。

   **Target：**流量鏡像目標是鏡像流量的目的地。請指定彈性網路介面、Network Load Balancer 或 Gateway Load Balancer 端點的 ID。如果您指定 Network Load Balancer，則必須在 4789 連接埠上具有 UDP 接聽程式。如需更多資訊，請參閱了解流量鏡像目標概念。

   具有安全群組的鏡像目標必須允許來自流量鏡像來源的 VXLAN 流量 (UDP 4789 連接埠 )。如需更多資訊，請參閱 VXLAN 封裝。

   **SessionNumber：**輸入您要使用的鏡像工作階段編號。該數字必須在 1-32766 範圍內。

7. (選用) 新增 Amazon CloudWatch 警示，以協助您進行自動化。如果在自動化執行時觸發警示，自動化將會停止。如需更多資訊，請參閱使用 Amazon CloudWatch 監控鏡像流量。

8. 選擇 Execute (執行)。

檢視您的 Traffic Mirroring 工作階段

1. 開啟 Amazon VPC console (Amazon VPC 主控台)。
2. 在導覽窗格中的 Traffic Mirroring 下，選擇 Mirror sessions (鏡像工作階段)。

重要： 由於 Traffic Mirroring 可能會產生額外的成本，因此最佳實務是在未使用時，刪除 Traffic Mirroring 工作階段。

相關資訊

執行 Systems Manager Automation 支援的自動化作業

設定自動化

Systems Manager Automation 執行手冊參考