Acerca de los registros de flujo de VPC

En esta página, se describe el formato de los registros de flujo de VPC, incluido qué campos de bases y de metadatos están disponibles. También se explica cómo puedes usar el filtrado de registros para que solo se generen los registros que coincidan con ciertos criterios.

Formato del registro

Los registros contienen campos base, que son los campos principales de cada registro, y campos de metadatos que agregan información adicional. Los campos de metadatos se pueden omitir para ahorrar costos de almacenamiento.

Algunos campos de registro se encuentran en formato de varios campos y poseen más de un dato en un campo específico. Por ejemplo, el campo connection tiene el formato IpConnection, que contiene el puerto y la dirección IP de origen y destino, además del protocolo, en un solo campo. Estos campos de varios campos se describen a continuación en la tabla de formato de registros.

Los campos de metadatos tienen las siguientes limitaciones:

  • Los valores de los campos de metadatos no se basan en la ruta del plano de datos; son aproximaciones y es posible que algunos falten o sean incorrectos. A diferencia de los campos de metadatos, los valores de los campos de base se toman directamente de los encabezados de paquetes.
  • Para el campo internet_routing_details, la ruta del sistema autónomo (AS) puede faltar en algunos casos. Por ejemplo, cuando los paquetes se enrutan dentro de una nube privada virtual (VPC), no se incluye la información de la ruta de acceso de AS.
Campo Formato del campo Tipo del campo: base o metadatos opcionales
connection IpConnection
5 tuplas que describen esta conexión.
Capas
reporter string
El lado que reportó el flujo. Puede ser SRC o DEST.
Capas
rtt_msec int64
Latencia medida durante el intervalo de tiempo solo para flujos TCP. La latencia medida es el tiempo transcurrido entre el envío de un SEQ y la recepción de un ACK correspondiente. El resultado de la latencia es la suma del RTT de la red y el tiempo que consume la aplicación.
Capas
bytes_sent int64
Cantidad de bytes que se enviaron desde el origen hacia el destino
Capas
packets_sent int64
Cantidad de paquetes que se enviaron desde el origen hacia el destino
Capas
start_time string
Marca de tiempo (string con formato de fecha RFC 3339) del primer paquete observado durante el intervalo de tiempo agregado
Capas
end_time string
Marca de tiempo (string con formato de fecha RFC 3339) del último paquete que se observó durante el intervalo de tiempo agregado
Capas
internet_routing_details InternetRoutingDetails
Si la conexión es entre Internet y Google Cloud, este campo se propaga con los detalles de enrutamiento. Disponible solo para los flujos de salida.
Metadatos
src_gke_details GkeDetails
Metadatos de GKE para los extremos de origen. Solo está disponible si el extremo es GKE.
Metadatos
dest_gke_details GkeDetails
Metadatos de GKE para los extremos de destino. Solo está disponible si el extremo es GKE.
Metadatos
src_instance InstanceDetails
Si la fuente de la conexión era una VM ubicada en la misma VPC, este campo se propaga con los detalles de la instancia de VM. En una configuración de VPC compartida, project_id corresponde al proyecto que posee la instancia, en general, el proyecto de servicio.
Metadatos
dest_instance InstanceDetails
Si la fuente de la conexión era una VM ubicada en la misma VPC, este campo se propaga con los detalles de la instancia de VM. En una configuración de VPC compartida, project_id corresponde al proyecto que posee la instancia, en general, el proyecto de servicio.
Metadatos
src_location GeographicDetails
Si el origen de la conexión es externo a la VPC, este campo se propaga con los metadatos de ubicación disponibles.
Metadatos
dest_location GeographicDetails
Si el destino de la conexión es externo a la VPC, este campo se propaga con los metadatos de ubicación disponibles.
Metadatos
src_vpc VpcDetails
Si la fuente de la conexión era una VM ubicada en la misma VPC, este campo se propaga con los detalles de la red de VPC. En una configuración de VPC compartida, project_id corresponde a la del proyecto host.
Metadatos
dest_vpc VpcDetails
Si el destino de la conexión era una VM ubicada en la misma VPC, este campo se propaga con los detalles de la red de VPC. En una configuración de VPC compartida, project_id corresponde a la del proyecto host.
Metadatos

Formato del campo IpConnection

Campo Tipo Descripción
protocolo int32 Número del protocolo IANA
src_ip string Dirección IP de origen
dest_ip string Dirección IP de destino
src_port int32 Puerto de origen
dest_port int32 Puerto de destino

Formato del campo InternetRouteDetails

Campo Tipo Descripción
egress_as_path AsPath Lista de rutas de acceso de AS relevantes. Si hay varias rutas de acceso de AS disponibles para el flujo, el campo puede contener más de una ruta de acceso de AS.

Formato de campo AsPath

Campo Tipo Descripción
as_details AsDetails Lista de detalles del AS para todos los sistemas de la ruta de acceso del AS. La lista empieza desde el primer AS externo a la red de Google Cloud y termina con el AS al que pertenece la dirección IP remota.

Formato del campo AsDetails

Campo Tipo Descripción
asn uint32 Es el número de sistema autónomo (ASN) del AS.

Formato del campo GkeDetails

Campo Tipo Descripción
clúster ClusterDetails Metadatos del clúster de GKE
pod PodDetails Metadatos del Pod de GKE, propagados cuando el origen o el destino del tráfico es un Pod
servicio ServiceDetails Metadatos del Service de GKE, propagados solo en los extremos del Service. El registro contiene hasta dos Service. Si hay más de dos Service relevantes, este campo contiene un solo Service con un marcador MANY_SERVICES especial.

Formato del campo ClusterDetails

Campo Tipo Descripción
cluster_location string Ubicación del clúster. Puede ser una zona o región, dependiendo de si se trata de un clúster zonal o regional.
cluster_name string Nombre del clúster de GKE.

Formato del campo PodDetails

Campo Tipo Descripción
pod_name string Nombre del Pod.
pod_namespace string Espacio de nombres del Pod.

Formato del campo ServiceDetails

Campo Tipo Descripción
service_name string Nombre del Service. Si hay más de dos Service relevantes, el campo se configura como un marcador MANY_SERVICES especial.
service_namespace string Espacio de nombres del Service

Ejemplo:

Si hay dos servicios, el campo Service tiene el siguiente aspecto:

service: [
 0: {
  service_name: "my-lb-service"
  service_namespace: "default"
 }
 1: {
  service_name: "my-lb-service2"
  service_namespace: "default"
 }
]

Si hay más de dos servicios, el campo Service tiene el siguiente aspecto:

service: [
 0: {
  service_name: "MANY_SERVICES"
 }
]

Formato del campo InstanceDetails

Campo Tipo Descripción
project_id string ID del proyecto que contiene la VM.
region string Región de la VM
vm_name string Nombre de la instancia de la VM.
zona string Zona de la VM

Formato del campo GeographicDetails

Campo Tipo Descripción
asn int32 El ASN de la red externa a la que pertenece el extremo.
city string Ciudad para los extremos externos.
continent string Continente de los extremos externos.
country string País para los extremos externos, representado como un código de país de ISO 3166-1 Alpha-3.
region string Región de los extremos externos.

Formato del campo VpcDetails

Campo Tipo Descripción
project_id string ID del proyecto que contiene la VPC
subnetwork_name string Subred en la que opera la VM
vpc_name string VPC en la que opera la VM

Anotaciones de metadatos

Los registros contienen campos base y campos de metadatos. En la sección Formato del registro, se enumeran los campos que son de tipo metadatos y los que son de tipo base. Todos los campos base siempre se incluyen. Puedes personalizar qué campos de metadatos conservas.

  • Si seleccionas todos los metadatos, todos los campos de metadatos en el formato de registro Registros de flujo de VPC se incluyen en los registros de flujo. Cuando se agregan campos de metadatos nuevos al formato del registro, los registros de flujo incluyen automáticamente los campos nuevos.

  • Si no seleccionas metadatos, se omitirán todos los campos de metadatos.

  • Si seleccionas metadatos personalizados, puedes especificar los campos de metadatos que deseas incluir con el campo superior, como src_vpc, o con sus nombres completos, como src_vpc.project_id

    Cuando se agregan campos de metadatos nuevos al formato del registro, se excluyen de los registros de flujo, a menos que estén dentro de un campo superior que hayas especificado.

    • Si especificas metadatos personalizados con campos superiores, cuando los campos de metadatos nuevos se agreguen al formato del registro de ese campo superior, los registros de flujo incluirán automáticamente los campos nuevos.

    • Si especificas metadatos personalizados con el nombre completo del campo, los campos de metadatos nuevos que se agreguen al campo superior se excluirán de los registros de flujo.

Si quieres obtener información acerca de cómo personalizar campos de metadatos, consulta las instrucciones de Google Cloud CLI o la API para habilitar el registro de flujo de VPC cuando creas una subred.

Anotaciones de metadatos de GKE

Los flujos que tienen un extremo en un clúster de GKE pueden anotarse con anotaciones de los metadatos de GKE, que pueden incluir detalles del clúster, el Pod y el Service del extremo.

Anotaciones del Service de GKE

El tráfico enviado a un ClusterIP, NodePort o LoadBalancer puede recibir anotaciones del servicio. Si se envía a un NodePort o un LoadBalancer, el flujo recibe la anotación del Service en ambos saltos de la conexión.

El tráfico enviado de forma directa al puerto de Service de un Pod se anota con una anotación del Service en el extremo de destino.

El tráfico enviado al puerto de Service de un Pod en el que el Pod está creando una copia de seguridad de más de un Service en el mismo puerto se anota con varios Service en el extremo de destino. Se limita a dos Service. Si hay más que eso, el extremo se anotará con un marcador MANY_SERVICES especial.

Anotaciones de Pod en el tráfico de Internet

De forma predeterminada, el tráfico entre un Pod e Internet no recibe anotaciones de Pod. Los registros de flujo de VPC no pueden agregar anotaciones de Pod porque, en el caso de los paquetes a Internet, el agente de enmascaramiento traduce la dirección IP del Pod a la dirección IP del nodo antes de que los registros de flujo de VPC vean el paquete.

Debido al enmascaramiento, las anotaciones de Pod solo son visibles si los destinos se encuentran dentro de los destinos predeterminados sin enmascarar o en una lista nonMasqueradeCIDRs personalizada. Si incluyes destinos de Internet en una lista nonMasqueradeCIDRs personalizada, debes proporcionar una forma de que las direcciones IP internas del Pod se traduzcan antes de que se entreguen a Internet. Para los clústeres privados y no privados, puedes usar Cloud NAT. Consulta Interacción de GKE para obtener más detalles.

Filtrado de registros

Cuando habilitas los registros de flujo de VPC, puedes configurar un filtro basado en los campos base y de metadatos que solo conservan los registros que coinciden con el filtro. Todos los demás registros se descartan antes de escribirse en Logging, lo que te ahorra dinero y reduce el tiempo necesario para encontrar la información que buscas.

Puedes filtrar cualquier subconjunto de campos que aparezca en Formato del registro, excepto para los siguientes campos:

  • rtt_msec
  • bytes_sent
  • packets_sent
  • start_time
  • end_time

Los filtros de registros de flujo de VPC usan CEL, un lenguaje de expresión incorporado para las expresiones lógicas basadas en atributos. Las expresiones de filtro para los registros de flujo de VPC tienen un límite de 2,048 caracteres. Para obtener más información, consulta Operadores lógicos CEL admitidos.

Para obtener más información acerca del CEL, consulta la introducción a CEL y la definición de lenguaje. La función de filtro de generación admite un subconjunto limitado de sintaxis CEL.

Si deseas obtener información acerca de cómo crear una subred que use el filtrado de registros, consulta las instrucciones de gcloud CLI o de la API para habilitar los registros de flujo de VPC cuando creas una subred.

Si deseas obtener información para configurar el filtrado de registros, consulta gcloud CLI o las instrucciones de la API para actualizar los parámetros de registros de flujo de VPC.

Ejemplo 1: Limita la recopilación de registros a una VM específica llamada my-vm. En este caso, solo se graban los registros en los que el campo src_instance informado por la fuente del tráfico es my-vm o el campo dst_instance, como lo indica el destino del tráfico es my-vm.

gcloud compute networks subnets update my-subnet \
    --logging-filter-expr="(src_instance.vm_name == 'my-vm' && reporter=='SRC') || (dest_instance.vm_name == 'my-vm' && reporter=='DEST')"

Ejemplo 2: Limita la recopilación de registros a los paquetes cuyas direcciones IP de origen estén en la subred 10.0.0.0/8.

gcloud compute networks subnets update my-subnet \
    --logging-filter-expr="inIpRange(connection.src_ip, '10.0.0.0/8')"

Ejemplo 3: Limita la recopilación de registros al tráfico externo a una VPC.

gcloud compute networks subnets update my-subnet \
    --logging-filter-expr '!(has(src_vpc.vpc_name) && has(dest_vpc.vpc_name))'

Operadores lógicos CEL admitidos

Expresión Tipos compatibles Descripción
true, false Booleano Constantes booleanas

x == y

x !== y

Booleano, Int, String

Operadores de comparación

Ejemplo: connection.protocol == 6

x && y

x || y

Booleano

Operadores lógicos booleanos

Ejemplo: connection.protocol == 6 && src_instance.vm_name == "vm_1"

!x Booleano Negación
1, 2.0, 0, ... Int Literales numéricos constantes
x + y String Concatenación de string
"foo", 'foo', ... String Literal de string constante
x.lower() String Muestra el valor de la string en minúsculas
x.upper() String Muestra el valor de la string en mayúsculas
x.contains(y) String El resultado es verdadero si la string contiene la substring especificada
x.startsWith(y) String El resultado es verdadero si la string comienza con la substring especificada
x.endsWith(y) String El resultado es verdadero si la string termina con la substring especificada
inIpRange(X, Y) String

El resultado es verdadero si X es una IP e Y es un rango de IP que contiene X

Ejemplo: inIpRange("1.2.3.1", "1.2.3.0/24")

x.containsFieldValue(y) x: lista
y: mapa(string, string)

El resultado es verdadero si la lista contiene un objeto con campos que coinciden con los pares clave-valor especificados.

Ejemplo: dest_gke_details.service.containsFieldValue({'service_name': 'service1', 'service_namespace': 'namespace1'})

tiene(x) String

Muestra verdadero si el campo está presente.

¿Qué sigue?