Esta página foi traduzida pela API Cloud Translation.

Visão geral do Flow Analyzer

O Flow Analyzer (pré-lançamento) permite entender de maneira rápida e eficiente os fluxos de tráfego da VPC, sem precisar escrever consultas SQL complexas para analisar os registros de fluxo de VPC. Com o Flow Analyzer, é possível realizar análises de tráfego de rede opinativas com granularidade de cinco tuplas (IP de origem, IP de destino, porta de origem, porta de destino e protocolo).

Desenvolvido usando a Análise de dados de registros e com a tecnologia do BigQuery, o Flow Analyzer permite uma análise detalhada do tráfego de entrada e saída das instâncias de VM. Ele permite que você monitore, solucione problemas e otimize sua implantação de rede para melhorar o desempenho e a segurança, o que ajuda a garantir a conformidade e economizar custos.

O Flow Analyzer analisa os dados de registros de fluxo de VPC armazenados em um bucket de registros (formato de registro). Para usar o Flow Analyzer, é preciso selecionar um projeto com um bucket de registros que contenha registros de fluxo de VPC. Para mais informações, consulte a Visão geral dos registros de fluxo de VPC. Os registros de fluxo de VPC podem ser usados para monitoramento de rede, perícia forense, análise de segurança em tempo real e otimização de despesas.

O Flow Analyzer executa consultas nos campos incluídos nos registros de fluxo de VPC. Para mais informações, consulte Principais propriedades dos registros de fluxo de VPC.

Com o Flow Analyzer, é possível executar as seguintes tarefas:

Crie e execute uma consulta simples nos registros de fluxo de VPC
Criar um filtro SQL (usando uma instrução WHERE) para a consulta nos registros de fluxo de VPC
Usar os campos selecionados para organizar os resultados e classificar os resultados da consulta usando o tráfego total e os pacotes agregados.
Visualize o tráfego em intervalos de tempo escolhidos
Visualize os cinco principais fluxos de tráfego ao longo do tempo em um formato gráfico, em comparação com o restante do tráfego
Exiba os recursos com o maior tráfego agregado ao longo da duração selecionada em um formato tabular
Confira os detalhes do tráfego entre um par específico de origem e destino nos resultados da consulta.
Detalhe os resultados da consulta usando os campos restantes disponíveis nos registros de fluxo de VPC

Como funciona

Os registros de fluxo de VPC registram uma amostra de fluxos de rede enviados e recebidos por recursos da VPC, como instâncias de VM e nós do Google Kubernetes Engine.

Os registros de fluxo podem ser visualizados no Cloud Logging e podem ser exportados para qualquer destino compatível com a exportação do Logging. É possível usar a Análise de dados de registros para executar consultas que analisam dados de registros e, em seguida, exibir os resultados da consulta na forma de gráficos e tabelas.

O Flow Analyzer usa a Análise de registros para permitir que você execute consultas nos registros de fluxo de VPC e aprenda mais sobre os fluxos de tráfego fornecendo informações como o gráfico de fluxos de dados mais altos e uma tabela que fornece detalhes sobre todos os fluxos de dados.

Componentes da consulta

Para analisar e entender os fluxos de tráfego, execute uma consulta nos registros de fluxo de VPC. O Flow Analyzer ajuda a criar a consulta, personalizar as opções de exibição e detalhar para visualizar e monitorar os fluxos de tráfego.

Agregação de tráfego

Para analisar os fluxos de tráfego VPC, é preciso determinar a abordagem de agregação para filtrar os fluxos entre os recursos. O Flow Analyzer organiza os registros de fluxo para agregação das seguintes maneiras:

Origem e destino: essa opção usa as informações de SRC e DEST incluídas nos registros de fluxo de VPC. Essa visualização agrega o tráfego da origem para o destino.
Cliente e servidor: esta opção tenta encontrar o iniciador da conexão. Um recurso com o número da porta menor é considerado o servidor. Ele também considera os recursos com a definição gke_service como servidores, porque os serviços não iniciam solicitações. Essa visualização agrega o tráfego nas duas direções.

Seletor de intervalo

O período padrão é de uma hora, mas é possível selecionar uma das opções predefinidas, especificar um horário personalizado de início e término ou centralizar o período em torno de um carimbo de data/hora específico usando o seletor de período. Por exemplo, se você quiser consultar os dados da última semana, selecione Última semana no seletor de período.

Você também pode definir suas preferências de fuso horário usando o seletor de intervalo de tempo.

Filtros básicos

Você pode criar a consulta organizando os fluxos de acordo com os recursos nas duas direções.

Para usar os filtros, selecione os campos da lista e especifique valores para eles.

É possível adicionar várias expressões para filtrar fluxos que correspondem aos pares de chave-valor selecionados. Se você selecionar mais filtros para o mesmo campo, um operador OR será usado. Se você selecionar filtros para campos diferentes, um operador AND será usado.

Por exemplo, se você selecionar dois valores de endereço IP: 1.2.3.4 e 10.20.10.30 e dois valores de País: US e France, a seguinte lógica de filtro será aplicada à consulta:

(IP=1.2.3.4 OU IP=10.20.10.30) E (País=US OR País=France)

Se você tentar modificar os filtros de endpoint ou alterar as opções de tráfego, os resultados poderão variar. É preciso executar novamente a consulta para visualizar os resultados atualizados.

Para criar e executar a consulta usando os filtros básicos, consulte Criar e executar a consulta.

Filtros SQL

Para criar consultas complexas, use filtros SQL. Com consultas complexas, é possível executar tarefas como as seguintes:

Como comparar os valores de campo entre si
Criar lógica booleana complexa usando operações AND/OR e OR aninhadas
Como executar operações complexas em endereços IP usando funções do BigQuery

As consultas de filtro do SQL usam a sintaxe SQL do BigQuery. Para mais informações, consulte a sintaxe SQL do BigQuery.

Para acessar a sintaxe e os exemplos da expressão de filtro, clique em Sintaxe e exemplos da expressão de filtro.

Para criar e executar a consulta usando filtros SQL, consulte Criar e executar uma consulta SQL.

Resultados da consulta

Os resultados da consulta incluem os seguintes componentes:

Gráfico de fluxos de dados mais altos: mostra os cinco principais fluxos de tráfego ao longo do tempo com o restante do tráfego. É possível identificar tendências, como picos de tráfego, usando esse gráfico.
Tabela de todos os fluxos de dados: mostra os principais fluxos de tráfego de até 10.000 linhas agregadas durante a duração selecionada. Essa tabela exibe os campos selecionados para organizar os fluxos ao definir os filtros para a consulta.

Opções de exibição

Depois de executar a consulta, é possível refinar ainda mais os resultados usando as várias opções de exibição. O gráfico e a tabela são atualizados para refletir as opções recém-selecionadas. Para selecionar as opções personalizadas e executar a consulta, consulte Personalizar opções de exibição.

Tipos de métricas

Você pode optar por visualizar um dos tipos de métrica a seguir.

Bytes enviados: contém informações sobre os volumes de payload e não inclui cabeçalhos. Esse valor da métrica pode ser zero porque alguns pacotes têm apenas cabeçalhos e não incluem payload.

Observação :não é possível usar essa métrica para estimar custos porque os dados são uma amostra e não incluem cabeçalhos.
Pacotes enviados: indica o número de pacotes enviados da origem para o destino.

Para os dois tipos de métricas, você pode escolher agregações adicionais.

Agregação de métricas

É possível visualizar a agregação de métrica das maneiras a seguir.

Se você selecionar Bytes enviados como a métrica e Origem e destino como a agregação do tráfego, as seguintes opções estarão disponíveis:

Tráfego total: fica sempre ativado por padrão e mostra o tráfego total para o período escolhido.
Taxa média de tráfego: mostra a taxa média de tráfego (em bytes por segundo) para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de tráfego mediana: exibe a taxa de tráfego média (em bytes por segundo) para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de tráfego P95: mostra a taxa de tráfego do 95o percentil em bytes por segundo para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de tráfego máxima: mostra a taxa de tráfego máxima em bytes por segundo no período escolhido.

Se você selecionar Pacotes enviados como a métrica e Origem e destino como agregação de tráfego, as seguintes opções estarão disponíveis:

Pacotes agregados: mostra a contagem de pacotes enviados no período escolhido. Ativado por padrão.
Taxa média de pacotes: exibe a taxa média de pacotes para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de pacotes mediana: exibe a taxa de pacotes média para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de pacotes P95: mostra a taxa de pacotes do 95o percentil para o período escolhido, calculada apenas para os períodos de alinhamento em que o tráfego foi observado. Para mais informações, consulte Período de alinhamento.
Taxa de pacotes máxima: mostra a taxa de pacotes máxima para o período escolhido.

Período de alinhamento

É possível escolher de 5 segundos a 1 dia para o período dos detalhes no gráfico. O modo automático seleciona o período de alinhamento ideal, dependendo da duração do período selecionado.

Cada ponto na linha do tempo representa dados agregados de um período específico. A duração desse período é chamada de período de alinhamento.

O desempenho diminui com a diminuição do valor do período de alinhamento. Para valores mais altos do período de alinhamento, o gráfico fica menos granular. Talvez não seja possível visualizar picos curtos com valores mais altos.

Para períodos maiores, um período de alinhamento menor não é útil. Por exemplo, se você selecionar o alinhamento de 1 minuto para um período de 30 dias, o Flow Analyzer gerará mais de 43.000 pontos de dados. Como isso é 10 vezes mais do que a resolução de 4K pixels da tela, não é possível conferir todos os detalhes, e algumas opções ficam desativadas por longos períodos.

Para mais informações sobre como a amostragem é feita e o período de alinhamento é determinado para exibir os resultados da consulta, consulte Métricas e período de alinhamento.

Ponto de amostragem

Para a comunicação de rede entre VMs, os registros de fluxo estão disponíveis (com amostragem aplicada) nas VMs que enviam e recebem tráfego. Se as duas VMs de endpoint estiverem em sub-redes com registros de fluxo de VPC ativados, o mesmo fluxo será informado duas vezes. Escolha uma das quatro abordagens a seguir para determinar quais registros de fluxo de VPC contribuem para as métricas calculadas e como eles são avaliados:

Endpoint de origem: o número de bytes ou pacotes enviados informados no endpoint de origem de um fluxo.
Endpoint de destino: o número de bytes ou pacotes enviados relatados no endpoint de destino de um fluxo
Soma dos endpoints de origem e destino: a soma de bytes enviados ou pacotes enviados informados pelos dois endpoints de um fluxo
Média do endpoint de origem e de destino: uma média de bytes enviados ou pacotes enviados relatados pelos dois endpoints de um fluxo se as informações de origem e destino estiverem disponíveis nos registros de fluxo de VPC

Eliminação de duplicação de tráfego

Para evitar que o tráfego informado nas VMs de origem e destino seja contado duas vezes, escolha a opção de amostragem Média do endpoint de origem e destino. O Flow Analyzer identifica fluxos equivalentes em cada período de alinhamento e calcula as médias dos valores de métricas informados (contagem de bytes e de pacotes).

Para períodos de alinhamento em que fluxos equivalentes são informados em SRC e DEST, todo o tráfego atribuído a um determinado período de alinhamento é dividido por dois.

Mais detalhes do fluxo

Na tabela Todos os fluxos de dados, clique em Mostrar detalhes para qualquer fluxo. O painel Detalhes do fluxo é exibido. Esse painel fornece informações como origem, destino, tráfego e possíveis opções de detalhamento.

É possível detalhar ao dividir um fluxo de tráfego selecionado usando um campo extra. Por exemplo, se um fluxo incluir detalhes genéricos sobre o tráfego de 1.000 GiB da zona X do Google Cloud para a zona Y,será possível detalhar usando outro campo, como o endereço IP de origem. Os resultados incluem vários endereços IP que compõem o fluxo original.

Os campos que aparecem no componente de detalhamento são selecionados da seguinte maneira:

Quando você acessa os detalhes do fluxo, o Flow Analyzer executa várias consultas. Cada consulta tenta detalhar o fluxo selecionado usando os campos disponíveis nos registros de fluxo de VPC que ainda não foram usados na consulta original. Por exemplo, se a consulta executada já incluir os detalhes do endereço IP, você não precisará executar a consulta com esse campo novamente e não será possível detalhar usando esse campo.
Se qualquer uma das consultas extras retornar um único valor de campo, ele será adicionado à seção de detalhes de origem e destino, mesmo que não seja buscado anteriormente.
Se algum dos resultados da consulta incluir mais de um valor de campo, o campo correspondente será exibido na lista de detalhamento.

Quando você seleciona um campo na lista de detalhamento, a tabela e o gráfico são atualizados para mostrar os três principais fluxos de tráfego.

Também é possível usar a opção Comparar com o passado. Selecione esse recurso para ver seis linhas: três linhas sólidas para os três principais apresentadores do detalhamento e três linhas tracejadas em cores correspondentes que representam o tráfego anterior.

Para detalhar os fluxos de tráfego usando mais campos, consulte Detalhar fluxos de tráfego.

Explorar na Análise de dados de registros

É possível conferir a consulta SQL bruta na Análise de dados de registros.

Para análise avançada, modifique diretamente o código SQL usado para visualizar o tráfego. O recurso Explorar na Análise de dados de registros direciona você à página da Análise de registros com uma consulta preenchida automaticamente.