Flow Analyzer 개요

Flow Analyzer(미리보기)를 사용하면 VPC 흐름 로그를 분석하기 위해 복잡한 SQL 쿼리를 작성하지 않아도 VPC 트래픽 흐름을 신속하고 효과적으로 파악할 수 있습니다. Flow Analyzer를 사용하면 5튜플 세부사항(소스 IP, 대상 IP, 소스 포트, 대상 포트, 프로토콜)으로 네트워크 트래픽을 독자적으로 분석할 수 있습니다.

로그 애널리틱스를 사용하여 개발되고 BigQuery를 기반으로 하는 Flow Analyzer는 VM 인스턴스의 인바운드 및 아웃바운드 트래픽을 심층 분석할 수 있게 해줍니다. 네트워크 배포를 모니터링, 문제 해결, 최적화하여 성능 및 보안 향상을 지원하고 규정 준수 및 비용 절감을 돕습니다.

Flow Analyzer는 로그 버킷에 저장된 VPC 흐름 로그 데이터를 분석합니다(레코드 형식). Flow Analyzer를 사용하려면 VPC 흐름 로그가 포함된 로그 버킷이 있는 프로젝트를 선택해야 합니다. 자세한 내용은 VPC 흐름 로그 개요를 참조하세요. VPC 흐름 로그는 네트워크 모니터링, 포렌식, 실시간 보안 분석, 비용 최적화에 사용될 수 있습니다.

Flow Analyzer는 VPC 흐름 로그에 포함된 필드에서 쿼리를 실행합니다. 자세한 내용은 VPC 흐름 로그의 주요 속성을 참조하세요.

Flow Analyzer를 사용하면 다음 태스크를 수행할 수 있습니다.

  • VPC 흐름 로그에서 단순 쿼리 빌드 및 실행
  • VPC 흐름 로그에서 쿼리에 대한 SQL 필터 빌드(WHERE 문 사용)
  • 선택한 필드를 사용하여 결과 구성 및 총 트래픽 및 집계 패킷을 사용하여 쿼리 결과 정렬
  • 선택한 시간 간격으로 트래픽 보기
  • 나머지 트래픽과 비교할 때 시간별 최상위 5개 트래픽 흐름을 그래픽 형식으로 보기
  • 테이블 형식으로 선택한 기간 동안 집계된 최상위 트래픽이 있는 리소스 보기
  • 쿼리 결과에서 특정 소스와 대상 쌍 사이의 트래픽 세부정보 보기
  • VPC 흐름 로그에서 사용 가능한 남은 필드를 사용하여 쿼리 결과 드릴다운

작동 방식

VPC 흐름 로그는 VM 인스턴스 및 Google Kubernetes Engine 노드와 같은 VPC 리소스에서 전송 및 수신되는 샘플 네트워크 흐름을 기록합니다.

흐름 로그는 Cloud Logging에서 볼 수 있으며 Logging 내보내기가 지원하는 대상으로 내보낼 수 있습니다. 로그 애널리틱스를 사용해서 로그 데이터를 분석하는 쿼리를 실행한 후 차트 및 테이블 형식으로 쿼리 결과를 표시할 수 있습니다.

Flow Analyzer는 로그 애널리틱스를 사용하여 VPC 흐름 로그에 대한 쿼리를 실행하고 최고 데이터 흐름 차트 및 모든 데이터 흐름에 대한 세부정보를 제공하는 테이블과 같은 정보를 제공하여 트래픽 흐름에 대해 자세히 알아봅니다.

쿼리 구성요소

트래픽 흐름을 분석하고 파악하기 위해서는 VPC 흐름 로그에 대해 쿼리를 실행해야 합니다. Flow Analyzer는 쿼리를 빌드하고, 표시 옵션을 맞춤설정하고, 트래픽 흐름 보기 및 모니터링으로 드릴다운할 수 있게 도와줍니다.

트래픽 집계

VPC 트래픽 흐름을 분석하려면 리소스 간 흐름을 필터링하기 위한 집계 방법을 결정해야 합니다. Flow Analyzer는 집계를 위한 흐름 로그를 다음과 같은 방법으로 구성합니다.

  • 소스 및 대상: 이 옵션은 VPC 흐름 로그에 포함된 SRCDEST 정보를 사용합니다. 이 보기는 소스에서 대상으로의 트래픽을 집계합니다.
  • 클라이언트 및 서버: 이 옵션은 연결 개시자를 찾으려고 시도합니다. 포트 번호가 작은 리소스가 서버로 간주됩니다. 또한 서비스가 요청을 시작하지 않기 때문에 gke_service 정의가 있는 리소스를 서버로 간주합니다. 이 보기는 양방향에서 트래픽을 집계합니다.

시간 범위 선택기

기본 시간 범위는 1시간이지만 사전 설정 시간 옵션에서 선택하거나, 커스텀 시작 및 종료 시간을 지정하거나, 시간 범위 선택기를 사용하여 특정 타임스탬프를 중심으로 시간 범위를 정할 수 있습니다. 예를 들어 지난주의 데이터를 보려면 시간 범위 선택기에서 지난 1주를 선택합니다.

시간 범위 선택기를 사용하여 시간대 환경설정을 지정할 수도 있습니다.

기본 필터

양방향의 리소스에 따라 흐름을 구성하여 쿼리를 빌드할 수 있습니다.

필터를 사용하려면 목록에서 필드를 선택하고 필드에 대해 값을 지정합니다.

선택한 키-값 쌍과 일치하는 흐름을 필터링하도록 여러 필터 표현식을 추가할 수 있습니다. 동일한 필드에 대해 여러 필터를 선택하면 OR 연산자가 사용됩니다. 여러 필드에 대해 필터를 선택하면 AND 연산자가 사용됩니다.

예를 들어 2개의 IP 주소 값으로 1.2.3.410.20.10.30을 선택하고 2개의 Country 값으로 USFrance를 선택하면 쿼리에 다음 필터 논리가 적용됩니다.

(IP=1.2.3.4 OR IP=10.20.10.30) AND (Country=US OR Country=France)

엔드포인트 파일을 수정하거나 트래픽 옵션을 변경하려고 시도하면 결과가 달라질 수 있습니다. 업데이트된 결과를 확인하려면 쿼리를 다시 실행해야 합니다.

기본 필터를 사용하여 쿼리를 빌드하고 실행하려면 쿼리 빌드 및 실행을 참조하세요.

SQL 필터

복잡한 쿼리를 빌드하려면 SQL 필터를 사용하면 됩니다. 복잡한 쿼리를 사용하면 다음과 같은 태스크를 수행할 수 있습니다.

  1. 서로 필드 값 비교
  2. AND/OR 및 중첩 OR 연산을 사용하여 복잡한 불리언 논리 빌드
  3. BigQuery 함수를 사용하여 IP 주소에 대한 복잡한 연산 수행

SQL 필터 쿼리는 BigQuery SQL 구문을 사용합니다. 자세한 내용은 BigQuery SQL 구문을 참조하세요.

필터 표현식 구문 및 예시를 보려면 필터 표현식 구문 및 예시를 클릭합니다.

SQL 필터를 사용하여 쿼리를 빌드 및 실행하려면 SQL 쿼리 빌드 및 실행을 참조하세요.

쿼리 결과

쿼리 결과에는 다음 구성요소가 포함됩니다.

  • 최고 데이터 흐름 차트: 나머지 트래픽과 함께 시간 경과에 따른 상위 5개 최고 트래픽 흐름을 표시합니다. 이 차트를 사용하여 트래픽 급증과 같은 추세를 확인할 수 있습니다.
  • 모든 데이터 흐름 테이블: 선택한 기간 동안 집계된 상위 트래픽 흐름을 최대 10,000개 행까지 표시합니다. 이 테이블은 쿼리 필터를 정의하면서 흐름 구성을 위해 선택된 필드를 표시합니다.

표시 옵션

쿼리를 실행한 후 여러 표시 옵션을 사용하여 결과를 더 세분화할 수 있습니다. 차트와 테이블 모두 새로 선택된 옵션을 반영해서 업데이트됩니다. 커스텀 옵션을 선택하고 쿼리를 실행하려면 표시 옵션 맞춤설정을 참조하세요.

측정항목 유형

다음 측정항목 유형 중 하나를 표시하도록 선택할 수 있습니다.

  • 전송된 바이트: 페이로드 볼륨에 대한 정보가 포함되고 헤더는 포함되지 않습니다. 일부 패킷은 헤더만 있고 페이로드가 포함되지 않기 때문에 이 측정항목 값이 0일 수 있습니다.

  • 전송된 패킷: 소스에서 대상으로 전송된 패킷 수를 나타냅니다.

두 측정항목 유형 모두 추가적인 측정항목 집계를 선택할 수 있습니다.

측정항목 집계

측정항목 집계는 다음 방식으로 확인할 수 있습니다.

전송된 바이트를 측정항목으로 선택하고 소스 및 대상을 트래픽 집계로 선택하면 다음 옵션을 사용할 수 있습니다.

  • 총 트래픽: 항상 기본적으로 사용 설정되며 선택한 기간의 총 트래픽을 표시합니다.
  • 평균 트래픽 속도: 트래픽이 관측된 정렬 기간 동안에만 계산된, 선택한 기간의 평균 트래픽 속도(초당 바이트 수)를 표시합니다. 자세한 내용은 정렬 기간을 참조하세요.
  • 중앙 트래픽 속도: 트래픽이 관측된 정렬 기간 동안에만 계산된, 선택한 기간의 중앙 트래픽 속도(초당 바이트 수)를 표시합니다. 자세한 내용은 정렬 기간을 참조하세요.
  • P95 트래픽 속도: 트래픽이 관측된 정렬 기간 동안에만 계산된, 선택한 기간의 95번째 백분위수 트래픽 속도(초당 바이트 수)를 표시합니다. 자세한 내용은 정렬 기간을 참조하세요.
  • 최대 트래픽 속도: 선택한 기간의 최대 트래픽 속도(초당 바이트 수)를 표시합니다.

전송된 패킷을 측정항목으로 선택하고 소스 및 대상을 트래픽 집계로 선택하면 다음 옵션을 사용할 수 있습니다.

  • 집계 패킷: 선택한 기간 동안 전송된 패킷 수를 표시합니다. 기본적으로 사용 설정됩니다.
  • 평균 패킷 속도: 트래픽이 관측된 정렬 기간 동안에만 계산된, 선택한 기간의 평균 패킷 속도를 표시합니다. 자세한 내용은 정렬 기간을 참조하세요.
  • 중앙 패킷 속도: 트래픽이 관측된 정렬 기간 동안에만 계산된, 선택한 기간의 중앙 패킷 속도를 표시합니다. 자세한 내용은 정렬 기간을 참조하세요.
  • P95 패킷 속도: 트래픽이 관측된 정렬 기간 동안에만 계산된, 선택한 기간의95번째 백분위수 패킷 속도를 표시합니다. 자세한 내용은 정렬 기간을 참조하세요.
  • 최대 패킷 속도: 선택한 기간 동안의 최대 패킷 속도를 표시합니다.

정렬 기간

차트에서 세부정보 시간 범위는 5초에서 1일까지 중에서 선택할 수 있습니다. 자동 모드는 선택한 기간의 길이에 따라 최적의 정렬 기간을 선택합니다.

타임라인의 각 지점은 선택한 기간 동안 집계된 데이터를 나타냅니다. 이 기간의 길이를 정렬 기간이라고 부릅니다.

정렬 기간 값이 줄어들면 성능이 감소합니다. 정렬 기간 값이 크면 차트가 더 세분화됩니다. 값이 높으면 짧은 급증이 표시되지 않을 수 있습니다.

기간이 길면 작은 정렬 기간이 도움이 되지 않습니다. 예를 들어 30일 기간에 1분 정렬을 선택하면 Flow Analyzer가 데이터 포인트를 43,000개 넘게 생성합니다. 표시 픽셀 4,000개의 10배가 넘기 때문에 모든 세부정보를 확인할 수 없고 일부 옵션은 긴 기간에 따라 사용 중지됩니다.

샘플링 수행 방법과 쿼리 결과 표시를 위한 정렬 기간 결정 방법은 측정항목 및 정렬 기간을 참조하세요.

샘플링 포인트

VM간 네트워크 통신의 경우 트래픽을 전송 및 수신하는 양 VM에서 흐름 로그가 제공됩니다(샘플링 적용). 두 엔드포인트 VM이 모두 VPC 흐름 로그가 사용 설정된 서브넷에 있으면 동일한 흐름이 두 번 보고됩니다. 다음 4개의 접근 방식 중 하나를 선택하여 계산된 측정항목에 기여하는 VPC 흐름 로그와 이를 평가하는 방법을 결정할 수 있습니다.

  • 소스 엔드포인트: 흐름의 소스 엔드포인트에서 보고된 전송된 바이트 또는 전송된 패킷 수
  • 대상 엔드포인트: 흐름의 대상 엔드포인트에서 보고된 전송된 바이트 또는 전송된 패킷 수
  • 소스 및 대상 엔드포인트 합계: 흐름의 양쪽 엔드포인트에서 보고된 전송된 바이트 또는 전송된 패킷의 합계
  • 소스 및 대상 엔드포인트 평균: 소스 및 대상 정보가 모두 VPC 흐름 로그에 제공되는 경우 흐름의 양쪽 엔드포인트에서 보고된 전송된 바이트 또는 전송된 패킷의 평균

트래픽 중복 삭제

소스 및 대상 VM에서 보고되는 트래픽이 두 번 계산되지 않도록 방지하기 위해서는 소스 및 대상 엔드포인트 평균 샘플링 옵션을 선택하면 됩니다. Flow Analyzer는 각 정렬 기간 내에서 해당 흐름을 식별하고 보고된 측정항목 값(바이트 수 및 패킷 수)의 평균을 계산합니다.

해당 흐름이 SRC와 DEST 모두에서 보고되는 정렬 기간 동안 지정된 정렬 기간에 기인하는 모든 트래픽을 2로 나눕니다.

흐름 세부정보 보기

모든 데이터 흐름 테이블에서 모든 흐름에 대해 세부정보 표시를 클릭합니다. 흐름 세부정보 패널이 표시됩니다. 이 패널은 소스, 대상, 트래픽, 사용 가능한 드릴다운 옵션과 같은 정보를 제공합니다.

추가 필드를 사용해서 선택한 트래픽 흐름을 분할하여 드릴다운할 수 있습니다. 예를 들어 흐름에 Google Cloud 영역 X에서 영역 Y로의 1,000GiB 트래픽에 대한 일반 세부정보가 포함된 경우 소스 IP 주소와 같은 다른 필드를 사용하여 드릴다운할 수 있습니다. 결과에는 원래 흐름을 구성하는 여러 IP 주소가 포함됩니다.

드릴다운 구성요소에 표시되는 필드는 다음과 같이 선택됩니다.

  • 흐름 세부정보에 액세스할 때 Flow Analyzer는 여러 쿼리를 실행합니다. 각 쿼리는 VPC 흐름 로그에서 사용 가능하지만 원래 쿼리에 아직 사용되지 않은 필드를 사용하여 선택한 흐름을 드릴다운하려고 시도합니다. 예를 들어 실행된 쿼리에 이미 IP 주소 세부정보가 포함된 경우 이 필드로 다시 쿼리를 실행할 필요가 없으며 이 필드를 사용하여 드릴다운할 수 없습니다.
  • 추가 쿼리가 단일 필드 값을 반환하는 경우 이전에 가져오지 않았더라도 소스 및 대상 세부정보 섹션에 추가됩니다.
  • 쿼리 결과에 필드 값이 1개 넘게 포함되었으면 해당 필드가 드릴다운 목록에 표시됩니다.

드릴다운 목록에서 필드를 선택하면 상위 3개 트래픽 흐름을 표시하도록 드릴다운 테이블과 차트가 업데이트됩니다.

또한 과거와 비교 전환 버튼을 사용할 수 있습니다. 이 기능을 선택하면 6개의 선이 표시됩니다. 3개의 실선은 드릴다운에서 상위 3개의 생성자를 나타내며 3개의 파선은 과거 트래픽을 나타내는 해당 색상으로 표시됩니다.

더 많은 필드를 사용하여 트래픽 흐름을 드릴다운하려면 트래픽 흐름 드릴다운을 참조하세요.

로그 애널리틱스에서 살펴보기

로그 애널리틱스에서 원해 SQL 쿼리를 볼 수 있습니다.

고급 분석을 위해서는 트래픽 시각화에 사용되는 SQL 코드를 직접 수정할 수 있습니다. 로그 애널리틱스에서 살펴보기 기능은 미리 치워진 쿼리가 있는 로그 애널리틱스 페이지로 안내합니다.

다음 단계