Acerca de los registros de flujo de VPC
En esta página, se describe el formato de los registros de flujo de VPC, incluido qué campos de bases y de metadatos están disponibles. También se explica cómo puedes usar el filtrado de registros para que solo se generen los registros que coincidan con ciertos criterios.
Formato del registro
Los registros contienen campos base, que son los campos principales de cada registro, y campos de metadatos que agregan información adicional. Los campos de metadatos se pueden omitir para ahorrar costos de almacenamiento.
Algunos campos de registro se encuentran en formato de varios campos y poseen más de un dato en un campo específico. Por ejemplo, el campo connection tiene el formato IpConnection, que contiene el puerto y la dirección IP de origen y destino, además del protocolo, en un solo campo. Estos campos de varios campos se describen a continuación en la tabla de formato de registros.
Los campos de metadatos tienen las siguientes limitaciones:
- Los valores de los campos de metadatos no se basan en la ruta del plano de datos; son aproximaciones y es posible que algunos falten o sean incorrectos. A diferencia de los campos de metadatos, los valores de los campos de base se toman directamente de los encabezados de paquetes.
- Para el campo
internet_routing_details, la ruta del sistema autónomo (AS) puede faltar en algunos casos. Por ejemplo, cuando los paquetes se enrutan dentro de una nube privada virtual (VPC), no se incluye la información de la ruta de acceso de AS.
| Campo | Formato del campo | Tipo del campo: base o metadatos opcionales |
|---|---|---|
| connection | IpConnection 5 tuplas que describen esta conexión. |
Capas |
| reporter |
string El lado que reportó el flujo. Puede ser SRC o DEST.
|
Capas |
| rtt_msec |
int64 Latencia medida durante el intervalo de tiempo solo para flujos TCP. La latencia medida es el tiempo transcurrido entre el envío de un SEQ y la recepción de un ACK correspondiente. El resultado de la latencia es la suma del RTT de la red y el tiempo que consume la aplicación. |
Capas |
| bytes_sent | int64 Cantidad de bytes que se enviaron desde el origen hacia el destino |
Capas |
| packets_sent | int64 Cantidad de paquetes que se enviaron desde el origen hacia el destino |
Capas |
| start_time | string Marca de tiempo (string con formato de fecha RFC 3339) del primer paquete observado durante el intervalo de tiempo agregado |
Capas |
| end_time | string Marca de tiempo (string con formato de fecha RFC 3339) del último paquete que se observó durante el intervalo de tiempo agregado |
Capas |
| internet_routing_details |
InternetRoutingDetails
Si la conexión es entre Internet y Google Cloud, este campo se propaga con los detalles de enrutamiento. Disponible solo para los flujos de salida. |
Metadatos |
| src_gke_details |
GkeDetails Metadatos de GKE para los extremos de origen. Solo está disponible si el extremo es GKE. |
Metadatos |
| dest_gke_details |
GkeDetails Metadatos de GKE para los extremos de destino. Solo está disponible si el extremo es GKE. |
Metadatos |
| src_instance |
InstanceDetails
Si la fuente de la conexión era una VM ubicada en la misma VPC, este campo se propaga con los detalles de la instancia de VM. En una configuración de VPC compartida, project_id corresponde al proyecto que posee la
instancia, en general, el proyecto de servicio.
|
Metadatos |
| dest_instance |
InstanceDetails
Si la fuente de la conexión era una VM ubicada en la misma VPC, este campo se propaga con los detalles de la instancia de VM. En una configuración de VPC compartida, project_id corresponde al proyecto que posee la
instancia, en general, el proyecto de servicio.
|
Metadatos |
| src_location |
GeographicDetails
Si el origen de la conexión es externo a la VPC, este campo se propaga con los metadatos de ubicación disponibles. |
Metadatos |
| dest_location |
GeographicDetails
Si el destino de la conexión es externo a la VPC, este campo se propaga con los metadatos de ubicación disponibles. |
Metadatos |
| src_vpc |
VpcDetails
Si la fuente de la conexión era una VM ubicada en la misma VPC, este campo se propaga con los detalles de la red de VPC. En una configuración de VPC compartida, project_id corresponde a la del proyecto host.
|
Metadatos |
| dest_vpc |
VpcDetails
Si el destino de la conexión era una VM ubicada en la misma VPC, este campo se propaga con los detalles de la red de VPC. En una configuración de VPC compartida, project_id
corresponde a la del proyecto host.
|
Metadatos |
Formato del campo IpConnection
| Campo | Tipo | Descripción |
|---|---|---|
| protocolo | int32 | Número del protocolo IANA |
| src_ip | string | Dirección IP de origen |
| dest_ip | string | Dirección IP de destino |
| src_port | int32 | Puerto de origen |
| dest_port | int32 | Puerto de destino |
Formato del campo InternetRouteDetails
| Campo | Tipo | Descripción |
|---|---|---|
| egress_as_path | AsPath | Lista de rutas de acceso de AS relevantes. Si hay varias rutas de acceso de AS disponibles para el flujo, el campo puede contener más de una ruta de acceso de AS. |
Formato de campo AsPath
| Campo | Tipo | Descripción |
|---|---|---|
| as_details | AsDetails | Lista de detalles del AS para todos los sistemas de la ruta de acceso del AS. La lista empieza desde el primer AS externo a la red de Google Cloud y termina con el AS al que pertenece la dirección IP remota. |
Formato del campo AsDetails
| Campo | Tipo | Descripción |
|---|---|---|
| asn | uint32 | Es el número de sistema autónomo (ASN) del AS. |
Formato del campo GkeDetails
| Campo | Tipo | Descripción |
|---|---|---|
| clúster | ClusterDetails | Metadatos del clúster de GKE |
| pod | PodDetails | Metadatos del Pod de GKE, propagados cuando el origen o el destino del tráfico es un Pod |
| servicio | ServiceDetails |
Metadatos del Service de GKE, propagados solo en los extremos del Service. El registro contiene hasta dos Service. Si hay más de dos Service relevantes, este campo contiene un solo Service con un marcador MANY_SERVICES especial.
|
Formato del campo ClusterDetails
| Campo | Tipo | Descripción |
|---|---|---|
| cluster_location | string | Ubicación del clúster. Puede ser una zona o región, dependiendo de si se trata de un clúster zonal o regional. |
| cluster_name | string | Nombre del clúster de GKE. |
Formato del campo PodDetails
| Campo | Tipo | Descripción |
|---|---|---|
| pod_name | string | Nombre del Pod. |
| pod_namespace | string | Espacio de nombres del Pod. |
Formato del campo ServiceDetails
| Campo | Tipo | Descripción |
|---|---|---|
| service_name | string |
Nombre del Service. Si hay más de dos Service relevantes, el campo se configura como un marcador MANY_SERVICES especial.
|
| service_namespace | string | Espacio de nombres del Service |
Ejemplo:
Si hay dos servicios, el campo Service tiene el siguiente aspecto:
service: [
0: {
service_name: "my-lb-service"
service_namespace: "default"
}
1: {
service_name: "my-lb-service2"
service_namespace: "default"
}
]
Si hay más de dos servicios, el campo Service tiene el siguiente aspecto:
service: [
0: {
service_name: "MANY_SERVICES"
}
]
Formato del campo InstanceDetails
| Campo | Tipo | Descripción |
|---|---|---|
| project_id | string | ID del proyecto que contiene la VM. |
| region | string | Región de la VM |
| vm_name | string | Nombre de la instancia de la VM. |
| zona | string | Zona de la VM |
Formato del campo GeographicDetails
| Campo | Tipo | Descripción |
|---|---|---|
| asn | int32 | El ASN de la red externa a la que pertenece el extremo. |
| city | string | Ciudad para los extremos externos. |
| continent | string | Continente de los extremos externos. |
| country | string | País para los extremos externos, representado como un código de país de ISO 3166-1 Alpha-3. |
| region | string | Región de los extremos externos. |
Formato del campo VpcDetails
| Campo | Tipo | Descripción |
|---|---|---|
| project_id | string | ID del proyecto que contiene la VPC |
| subnetwork_name | string | Subred en la que opera la VM |
| vpc_name | string | VPC en la que opera la VM |
Anotaciones de metadatos
Los registros contienen campos base y campos de metadatos. En la sección Formato del registro, se enumeran los campos que son de tipo metadatos y los que son de tipo base. Todos los campos base siempre se incluyen. Puedes personalizar qué campos de metadatos conservas.
Si seleccionas todos los metadatos, todos los campos de metadatos en el formato de registro Registros de flujo de VPC se incluyen en los registros de flujo. Cuando se agregan campos de metadatos nuevos al formato del registro, los registros de flujo incluyen automáticamente los campos nuevos.
Si no seleccionas metadatos, se omitirán todos los campos de metadatos.
Si seleccionas metadatos personalizados, puedes especificar los campos de metadatos que deseas incluir con el campo superior, como
src_vpc, o con sus nombres completos, comosrc_vpc.project_idCuando se agregan campos de metadatos nuevos al formato del registro, se excluyen de los registros de flujo, a menos que estén dentro de un campo superior que hayas especificado.
Si especificas metadatos personalizados con campos superiores, cuando los campos de metadatos nuevos se agreguen al formato del registro de ese campo superior, los registros de flujo incluirán automáticamente los campos nuevos.
Si especificas metadatos personalizados con el nombre completo del campo, los campos de metadatos nuevos que se agreguen al campo superior se excluirán de los registros de flujo.
Si quieres obtener información acerca de cómo personalizar campos de metadatos, consulta las instrucciones de Google Cloud CLI o la API para habilitar el registro de flujo de VPC cuando creas una subred.
Anotaciones de metadatos de GKE
Los flujos que tienen un extremo en un clúster de GKE pueden anotarse con anotaciones de los metadatos de GKE, que pueden incluir detalles del clúster, el Pod y el Service del extremo.
Anotaciones del Service de GKE
El tráfico enviado a un ClusterIP, NodePort o LoadBalancer puede recibir anotaciones del servicio. Si se envía a un NodePort o un LoadBalancer, el flujo recibe la anotación del Service en ambos saltos de la conexión.
El tráfico enviado de forma directa al puerto de Service de un Pod se anota con una anotación del Service en el extremo de destino.
El tráfico enviado al puerto de Service de un Pod en el que el Pod está creando una copia de seguridad de más de un Service en el mismo puerto se anota con varios Service en el extremo de destino. Se limita a dos Service. Si hay más que eso, el extremo se anotará con un marcador MANY_SERVICES especial.
Anotaciones de Pod en el tráfico de Internet
De forma predeterminada, el tráfico entre un Pod e Internet no recibe anotaciones de Pod. Los registros de flujo de VPC no pueden agregar anotaciones de Pod porque, en el caso de los paquetes a Internet, el agente de enmascaramiento traduce la dirección IP del Pod a la dirección IP del nodo antes de que los registros de flujo de VPC vean el paquete.
Debido al enmascaramiento, las anotaciones de Pod solo son visibles si los destinos se encuentran dentro de los destinos predeterminados sin enmascarar o en una lista nonMasqueradeCIDRs personalizada.
Si incluyes destinos de Internet en una lista nonMasqueradeCIDRs personalizada, debes proporcionar una forma de que las direcciones IP internas del Pod se traduzcan antes de que se entreguen a Internet. Para los clústeres privados y no privados, puedes usar Cloud NAT. Consulta Interacción de GKE para obtener más detalles.
Filtrado de registros
Cuando habilitas los registros de flujo de VPC, puedes configurar un filtro basado en los campos base y de metadatos que solo conservan los registros que coinciden con el filtro. Todos los demás registros se descartan antes de escribirse en Logging, lo que te ahorra dinero y reduce el tiempo necesario para encontrar la información que buscas.
Puedes filtrar cualquier subconjunto de campos que aparezca en Formato del registro, excepto para los siguientes campos:
rtt_msecbytes_sentpackets_sentstart_timeend_time
Los filtros de registros de flujo de VPC usan CEL, un lenguaje de expresión incorporado para las expresiones lógicas basadas en atributos. Las expresiones de filtro para los registros de flujo de VPC tienen un límite de 2,048 caracteres. Para obtener más información, consulta Operadores lógicos CEL admitidos.
Para obtener más información acerca del CEL, consulta la introducción a CEL y la definición de lenguaje. La función de filtro de generación admite un subconjunto limitado de sintaxis CEL.
Si deseas obtener información acerca de cómo crear una subred que use el filtrado de registros, consulta las instrucciones de gcloud CLI o de la API para habilitar los registros de flujo de VPC cuando creas una subred.
Si deseas obtener información para configurar el filtrado de registros, consulta gcloud CLI o las instrucciones de la API para actualizar los parámetros de registros de flujo de VPC.
Ejemplo 1: Limita la recopilación de registros a una VM específica llamada my-vm. En este caso, solo se graban los registros en los que el campo src_instance informado por la fuente del tráfico es my-vm o el campo dst_instance, como lo indica el destino del tráfico es my-vm.
gcloud compute networks subnets update my-subnet \
--logging-filter-expr="(src_instance.vm_name == 'my-vm' && reporter=='SRC') || (dest_instance.vm_name == 'my-vm' && reporter=='DEST')"
Ejemplo 2: Limita la recopilación de registros a los paquetes cuyas direcciones IP de origen estén en la subred 10.0.0.0/8.
gcloud compute networks subnets update my-subnet \
--logging-filter-expr="inIpRange(connection.src_ip, '10.0.0.0/8')"
Ejemplo 3: Limita la recopilación de registros al tráfico externo a una VPC.
gcloud compute networks subnets update my-subnet \
--logging-filter-expr '!(has(src_vpc.vpc_name) && has(dest_vpc.vpc_name))'
Operadores lógicos CEL admitidos
| Expresión | Tipos compatibles | Descripción |
|---|---|---|
| true, false | Booleano | Constantes booleanas |
x == y x !== y |
Booleano, Int, String | Operadores de comparación Ejemplo: connection.protocol == 6 |
x && y x || y |
Booleano | Operadores lógicos booleanos Ejemplo: connection.protocol == 6 && src_instance.vm_name == "vm_1" |
| !x | Booleano | Negación |
| 1, 2.0, 0, ... | Int | Literales numéricos constantes |
| x + y | String | Concatenación de string |
| "foo", 'foo', ... | String | Literal de string constante |
| x.lower() | String | Muestra el valor de la string en minúsculas |
| x.upper() | String | Muestra el valor de la string en mayúsculas |
| x.contains(y) | String | El resultado es verdadero si la string contiene la substring especificada |
| x.startsWith(y) | String | El resultado es verdadero si la string comienza con la substring especificada |
| x.endsWith(y) | String | El resultado es verdadero si la string termina con la substring especificada |
| inIpRange(X, Y) | String | El resultado es verdadero si X es una IP e Y es un rango de IP que contiene X Ejemplo: inIpRange("1.2.3.1", "1.2.3.0/24") |
| x.containsFieldValue(y) | x: lista y: mapa(string, string) |
El resultado es verdadero si la lista contiene un objeto con campos que coinciden con los pares clave-valor especificados. Ejemplo: dest_gke_details.service.containsFieldValue({'service_name': 'service1', 'service_namespace': 'namespace1'}) |
| tiene(x) | String | Muestra verdadero si el campo está presente. |