Network Intelligence Centerとは、「Google Cloudネットワークのオブザーバビリティ、モニタリング、トラブルシューティングのための単一コンソール※1」です。
※1 引用元URL
 
 
リリース日は、2019/11です。(意外と古くからあります)
 
以下の5つの主要機能から構成されます。

1.ネットワークトポロジー
2.接続テスト
3.パフォーマンスダッシュボード
4.ファイヤーウォールインサイト
5.ネットワークアナライズ
 

その他の公式ドキュメントに記載されている内容について、そちらをご参照していただき、次章でそれぞれの主要機能の概要、具体的な機能、用途、注意事項をご説明します。

1.ネットワークトポロジー

概要

追加の構成や設定変更不要でVPCネットワークのトポロジ、オンプレミス ネットワーク間のハイブリッド接続、Google マネージド サービスへの接続、および関連する指標を可視化することができる機能。

具体的な機能(なにができるのか)

①トラフィックパスの可視化
選択したエンティティのトラフィックを可視化することができます。また②で選択した指標がパス上に表示されます。
※画像では、平均スループットが表示されてます

②指標と分析情報の表示
1時間あたりの平均指標または分析情報を選択し、表示することができます。
平均指標は「平均スループット」「レイテンシ中央値(RTT)」「平均パケットロス」のいずれかを選択することができ、選択した指標が①のトラフィックパス上に表示されます。
また、分析情報では、下りトラフィック(クロスゾーン、インターネット、ハイブリッド、すべての下り、のいずれか)の多いインスタンスまたはインスタンスグループを表示することができます。

③エンティティの詳細情報の表示
選択したエンティティの詳細情報を表示することができます。
具体的には、上りトラフィック、下りトラフィック、CPU使用率、メモリ使用率、ディスク使用率が表示可能です。
※CPU使用率、メモリ使用率、ディスク使用率を表示できるエンティティは限られてます(Monitoingなどは表示されません)

④エンティティのフィルタリング
エンティティ、具体的にはリージョン、サブネット、Google Cloudサービス、VMインスタンスなどでフィルタリングを行うことができ、不要な情報を非表示にすることができます。

⑤タイムライン選択
過去6週間まで遡って、特定の日時で上記①～④を行うことが可能です。

用途

・ネットワークトポロジ(全体構成、接続形態)を可視化することで、既存インフラを理解
・各リソースのトラフィック分析(トラフィックの多いVM、接続先の把握など)
・タイムライン機能を利用したトラブルシューティング(トラブル前後のトラフィックパスの可視化など)

注意事項

・トラフィックが発生しない限り、トラフィックパスは表示されません
※事前に通信ルートを確認したいという用途には不向きです。
・接続先のオンプレミスの名前までは表示されません(名前をつけることも不可)
・複雑になると、画面に収まりきらないことがあります
・既存プロジェクトのデータを表示するため、他プロジェクトのリソース(VM、Cloud VPN)のデータを可視化する場合、Monitoringの設定変更が必要です

2. 接続テスト

概要

VM、GKE クラスタ、ロードバランサの転送ルール、インターネット上の IP アドレスなど、ネットワーク トラフィックの送信元や宛先などのネットワーク エンドポイント間の接続を確認できる診断ツール。

具体的な機能(なにができるのか)

プロトコル、ポート、ソース、出力先を指定し、接続テストを実施できます。
※各項目の選択肢については以下画像をご覧ください

テスト結果では、以下のようにソース、ソースの下りFWルール、ルート、出力先の上りFWルール、出力先および疎通可否が確認できます。

用途

・トラブルシューティング
※FW、ルート(特に優先度が同じものの確認)等

注意事項

・接続テストで指定するリソース(VMなど)は予め起動させる必要があります
・21回目以降は1回$0.15の課金が発生します

3.パフォーマンスダッシュボード

概要

パフォーマンス ダッシュボードは、Google Cloud ネットワーク全体のパフォーマンスと、プロジェクトのリソースのパフォーマンスを可視化できる機能。

具体的な機能(なにができるのか)

①特定プロジェクトまたはGoogle Cloud全体のパケットロスの可視化
特定プロジェクトまたはGoogle Cloud全体のパケットロスを可視化することができます。
画面上部のタブから「パケットロス」(特定プロジェクト)、「GOOGLE CLOUDのパケットロス」(Google Cloud全体)どちらかを選択します。
デフォルトでは、すべてのリージョン間のパケットロスが可視化されますが、最大5つのリージョンを選択することも可能です。

②特定プロジェクトまたはGoogle Cloud全体のレイテンシの可視化
特定プロジェクトまたはGoogle Cloud全体のレイテンシを可視化することができます。
画面上部のタブから「パケットロス」(特定プロジェクト)、「GOOGLE CLOUDのパケットロス」(Google Cloud全体)どちらかを選択します。
デフォルトでは、すべてのリージョン間のレイテンシが可視化されますが、最大5つのリージョンを選択することも可能です。
また、トラフィックの種類(ゾーン間、Google Cloud→インターネット間)を選択できます。

③タイムライン選択
過去6週間まで遡って、特定の日時で上記①～②を行うことが可能です。

用途

・Google Cloudゾーン間、インターネット間のトラフィック分析(主に各拠点からGoogle Cloud間のレイテンシ分析など)
・ネットワークの問題切り分け(プロジェクト固有なのか、Google Cloud全体なのか)

注意事項

・パケットロス、レイテンシはVMインスタンスの実際のトラフィックから算出されるため、
プロジェクトを指定して可視化する場合は、事前にトラフィックを送受信する必要があります。
・共有VPCの場合、パケットロスはサービスプロジェクトにて表示されます
・共有VPCの場合、レイテンシはサービスプロジェクト同士がホストプロジェクトを経由して通信した場合、どちらのプロジェクトにも表示されません

4.ファイヤーウォールインサイト

概要

ファイアウォール ルールの使用状況に関するデータを使用して、構成の誤りを確認し、より厳格なルールを特定する機能。

具体的な機能(なにができるのか)

①シャドウルールの検出
設定内容が重複しているFWルールを検出することができます。

②拒否ルールの詳細確認
ヒットが含まれる拒否ルールを確認することができます。

③制限が過度に緩いFWルールの検出
以下の分析情報から、制限が過度に緩いFWルールを検出することができます。
・ヒットなしの Allow ルール
・未使用の属性を含む Allow ルール
・制限が過度に緩い IP アドレスまたはポート範囲を含む Allow ルール

用途

・FWルールの最適化(重複ルール削除など)
・セキュリティ強化(過度なFWルールの最適化)
・トラブルシューティング(denyルールの詳細確認)

注意事項

・ファイアウォールルールロギングを有効化する必要があります。
※Cloud Loggingの課金が発生します
・「制限が過度に緩いFWルールの検出」を有効化する場合、ログエントリ数に応じて課金が発生するため、想定外の料金が発生する可能性があります。

5.ネットワークアナライズ

概要

VPC ネットワーク構成を自動的にモニタリングし、構成ミスや最適でない構成を検出、および基盤となるネットワークに起因する障害を特定し、根本原因の情報と考えられる解決策を提供する機能。

具体的な機能(なにができるのか)

ネットワーク情報から、以下のいずれかの分析結果を表示することができます。また、それらの情報に重み付けを行い、優先度も表示します。
・ネットワーク障害
構成の問題に起因するサービスのブロックなど。

・最適ではない構成
まだ割り振られていない予約済みの IP アドレス、静的ルートまたはサブネット ルートと重複する動的ルートなど。

・問題の発生を防ぐための事前警告
サブネット範囲の IP 使用率が 75% を超えた、など。

・ステータスの概要
リージョンまたはサービス プロジェクトによって配布された、割り振られていない予約済み IP アドレスのリストなど。

用途

・トラブルシューティング
・コスト最適化(利用していない予約外部IPアドレスの表示など)
・インシデント予防(最適ではない構成の検出、サブネットのIP使用率の表示など)

注意事項

・分析結果の通りに設定変更した結果、別の問題が発生する可能性があります。(例えば、アクティブスタンバイ用のスタンバイ用に用意していた予約済みIPアドレスを削除してしまった、重複するルーティングを削除した結果、うまく動作しなくなった等)
・共有VPCの場合、ホストプロジェクトの分析結果にサービスプロジェクトで実行されるサービスの情報も含まれます。(つまり、ホストプロジェクトでのみ実行すればOK)
・複数プロジェクトを表示したい場合、Monitoringの設定変更が必要です。

以下、ランニングコストの概要です。
※あくまで概要ですので、詳細についてはこちらをご参照ください

この記事では、NICの概要、5つの主要機能の詳細、ご料金を説明しましたが、いかがでしたでしょうか。

どの機能もネットワークの運用保守を担当している方々にとっては、非常にありがたい機能だと思います。

個人的には、接続テストはトラブルシューティングとして非常に有用だと感じました。
ネットワークが複雑になるとFWルールやルートなど問題の切り分けが非常に難しくなりますからね…

また、FWルールインサイトやネットワークアナライズは、管理が煩雑になっている環境では非常に力を発揮するところが想像できました。

いずれは人間による管理が不要になる時代が来るかもですね…(嬉しいな寂しいような)

長文でしたが、最後までお読みいただきありがとうございました！！

※本記事は2023年2月時点の内容を記載しております。

参考URL
https://cloud.google.com/network-intelligence-center?hl=ja
https://cloud.google.com/network-intelligence-center/docs/network-topology/concepts/overview?hl=ja
https://cloud.google.com/network-intelligence-center/docs/connectivity-tests/concepts/overview?hl=ja
https://cloud.google.com/network-intelligence-center/docs/performance-dashboard/concepts/overview?hl=ja
https://cloud.google.com/network-intelligence-center/docs/firewall-insights/concepts/overview?hl=ja
https://cloud.google.com/network-intelligence-center/docs/network-analyzer/overview?hl=ja
https://cloud.google.com/network-intelligence-center/pricing?hl=ja#network-intelligence-center-pricing