Tentang alur traffic
Halaman ini menjelaskan cara Log Aliran VPC melaporkan log alur untuk kasus penggunaan umum. Lihat bagian berikut untuk mengetahui contoh alur traffic yang diambil sampelnya oleh Log Aliran VPC.
Aliran VM-ke-VM dalam jaringan VPC yang sama
Untuk aliran VM-ke-VM di jaringan VPC yang sama, log aliran
dilaporkan dari VM yang meminta dan merespons, selama kedua VM berada di
subnet yang mengaktifkan Log Aliran VPC. Dalam contoh ini, VM 10.10.0.2 mengirim permintaan dengan 1.224 byte ke VM 10.50.0.2, yang juga berada di subnet yang mengaktifkan logging. Selanjutnya, 10.50.0.2 akan merespons permintaan tersebut dengan balasan yang berisi 5.342 byte. Permintaan dan balasan dicatat dari VM yang meminta dan merespons.
| Seperti yang dilaporkan oleh VM yang meminta (10.10.0.2) | ||||
|---|---|---|---|---|
| permintaan/balasan | connection.src_ip | connection.dest_ip | bytes_sent | Anotasi |
| permintaan | 10.10.0.2 | 10.50.0.2 | 1.224 |
src_instance.* dest_instance.* src_vpc.* dest_vpc.* |
| balasan | 10.50.0.2 | 10.10.0.2 | 5.342 |
src_instance.* dest_instance.* src_vpc.* dest_vpc.* |
| Seperti yang dilaporkan oleh VM yang merespons (10.50.0.2) | ||||
|---|---|---|---|---|
| permintaan/balasan | connection.src_ip | connection.dest_ip | byte | Anotasi |
| permintaan | 10.10.0.2 | 10.50.0.2 | 1.224 |
src_instance.* dest_instance.* src_vpc.* dest_vpc.* |
| balasan | 10.50.0.2 | 10.10.0.2 | 5.342 |
src_instance.* dest_instance.* src_vpc.* dest_vpc.* |
Aliran VM-ke-alamat-IP-eksternal
Untuk aliran yang melintasi internet antara VM yang ada dalam jaringan VPC dan endpoint dengan alamat IP eksternal, log aliran dilaporkan dari VM yang ada di jaringan VPC saja:
- Untuk aliran keluar, log dilaporkan dari VM jaringan VPC yang merupakan sumber traffic.
- Untuk aliran masuk, log dilaporkan dari VM jaringan VPC yang merupakan tujuan traffic.
Dalam contoh ini, VM 10.10.0.2 bertukar paket melalui internet dengan endpoint yang memiliki alamat IP eksternal 203.0.113.5. Traffic keluar
sebesar 1.224 byte yang dikirim dari 10.10.0.2 ke 203.0.113.5 dilaporkan dari
VM sumber, 10.10.0.2. Traffic masuk sebesar 5.342 byte yang dikirim dari 203.0.113.5 ke 10.10.0.2 dilaporkan dari tujuan traffic, VM 10.10.0.2.
| permintaan/balasan | connection.src_ip | connection.dest_ip | bytes_sent | Anotasi |
|---|---|---|---|---|
| permintaan | 10.10.0.2 | 203.0.113.5 | 1.224 |
src_instance.* src_vpc.* dest_location.* internet_routing_details.* |
| balasan | 203.0.113.5 | 10.10.0.2 | 5.342 |
{i>dest_instance<i}.* dest_vpc.* src_location.* |
Aliran VM-ke-lokal
Untuk aliran antara VM yang ada di jaringan VPC dan endpoint lokal dengan alamat IP internal, log aliran dilaporkan dari VM yang ada di jaringan VPC saja:
- Untuk aliran keluar, log dilaporkan dari VM jaringan VPC yang merupakan sumber traffic.
- Untuk aliran masuk, log dilaporkan dari VM jaringan VPC yang merupakan tujuan traffic.
Dalam contoh ini, VM 10.10.0.2 dan endpoint lokal 10.30.0.2 terhubung melalui gateway VPN atau Cloud Interconnect. Traffic keluar
sebesar 1.224 byte yang dikirim dari 10.10.0.2 ke 10.30.0.2 dilaporkan dari
VM sumber, 10.10.0.2. Traffic masuk sebesar 5.342 byte yang dikirim dari 10.30.0.2 ke 10.10.0.2 dilaporkan dari tujuan traffic, VM 10.10.0.2.
| permintaan/balasan | connection.src_ip | connection.dest_ip | bytes_sent | Anotasi |
|---|---|---|---|---|
| permintaan | 10.10.0.2 | 10.30.0.2 | 1.224 |
src_instance.* src_vpc.* |
| balasan | 10.30.0.2 | 10.10.0.2 | 5.342 |
{i>dest_instance<i}.* dest_vpc.* |
Aliran VM-ke-VM untuk VPC Bersama
Untuk aliran VM-ke-VM untuk VPC Bersama, Anda dapat mengaktifkan Log Aliran VPC untuk subnet dalam project host. Misalnya, subnet 10.10.0.0/20 termasuk dalam jaringan VPC Bersama yang ditentukan dalam project host. Anda dapat melihat log aliran dari VM milik subnet ini, termasuk yang dibuat oleh project layanan. Dalam contoh ini, project layanan disebut "server web", "rekomendasi", "database".
Untuk aliran VM-ke-VM, jika kedua VM berada di project yang sama, atau dalam kasus jaringan bersama, project host yang sama, anotasi untuk project ID, dan sejenisnya akan diberikan untuk endpoint lainnya dalam koneksi. Jika VM lain berada dalam project yang berbeda, anotasi untuk VM lain tersebut tidak disediakan.
Tabel berikut menunjukkan aliran seperti yang dilaporkan oleh 10.10.0.10 atau
10.10.0.20.
src_vpc.project_iddandest_vpc.project_idditujukan untuk project host karena subnet VPC adalah milik project host.src_instance.project_iddandest_instance.project_idditujukan untuk project layanan karena instance termasuk dalam project layanan.
|
connection .src_ip |
src_instance .project_id |
src_vpc .project_id |
connection .dest_ip |
dest_instance .project_id |
dest_vpc .project_id |
|---|---|---|---|---|---|
| 10.10.0.10 | server web | host_project | 10.10.0.20 | rekomendasi | host_project |
Project layanan tidak memiliki jaringan VPC Bersama dan tidak memiliki akses ke log aliran jaringan VPC Bersama.
Aliran VM-ke-VM untuk Peering Jaringan VPC
Kecuali jika kedua VM berada dalam project Google Cloud yang sama, aliran VM-ke-VM untuk jaringan VPC yang di-peering dilaporkan dengan cara yang sama seperti untuk endpoint eksternal—project dan informasi anotasi lain untuk VM lain tidak disediakan. Jika kedua VM berada di project yang sama, meskipun di jaringan yang berbeda, informasi project dan anotasi lainnya juga akan diberikan untuk VM lainnya.
Dalam contoh ini, subnet VM 10.10.0.2 dalam produk analisis project dan
VM 10.50.0.2 dalam project webserver-test terhubung melalui
Peering Jaringan VPC.
Jika Log Aliran VPC diaktifkan di produk analisis project, traffic
(1.224 byte) yang dikirim dari 10.10.0.2 ke 10.50.0.2 dilaporkan dari
VM 10.10.0.2, yang merupakan sumber aliran. Traffic (5342 byte) yang dikirim dari 10.50.0.2 ke 10.10.0.2 juga dilaporkan dari 10.10.0.2 VM, yang merupakan tujuan aliran.
Dalam contoh ini, Log Aliran VPC tidak diaktifkan dalam uji server web project,
sehingga tidak ada log yang direkam oleh VM 10.50.0.2.
| pelapor | connection.src_ip | connection.dest_ip | bytes_sent | Anotasi |
|---|---|---|---|---|
| sumber | 10.10.0.2 | 10.50.0.2 | 1.224 |
src_instance.* src_vpc.* |
| tujuan | 10.50.0.2 | 10.10.0.2 | 5.342 |
{i>dest_instance<i}.* dest_vpc.* |
Aliran VM-ke-VM untuk Load Balancer Jaringan passthrough internal
Ketika Anda menambahkan VM ke layanan backend untuk Load Balancer Jaringan passthrough internal, Lingkungan Linux atau Windows Guest Environment akan menambahkan alamat IP load balancer ke server tabel perutean lokal VM. Hal ini memungkinkan VM menerima paket permintaan dengan tujuan yang ditetapkan ke alamat IP load balancer. Saat VM membalas, VM akan mengirimkan responsnya secara langsung. Namun, alamat IP sumber untuk paket respons ditetapkan ke alamat IP load balancer, bukan VM yang mengalami load balancing.
Aliran VM-ke-VM yang dikirim melalui Load Balancer Jaringan passthrough internal dilaporkan dari sumber dan tujuan. Untuk contoh pasangan respons/permintaan HTTP, tabel berikut menjelaskan kolom entri log aliran yang diamati. Untuk tujuan ilustrasi ini, pertimbangkan konfigurasi jaringan berikut:
- Instance browser di 192.168.1.2
- Load Balancer Jaringan passthrough internl di 10.240.0.200
- Instance server web di 10.240.0.3
| Rute Traffic | pelapor | connection.src_ip | connection.dest_ip | connection.src_instance | connection.dest_instance |
|---|---|---|---|---|---|
| Permintaan | SRC | 192.168.1.2 | 10.240.0.200 | Instance browser | |
| Permintaan | DEST | 192.168.1.2 | 10.240.0.200 | Instance browser | Instance server web |
| Respons | SRC | 10.240.0.3 | 192.168.1.2 | Instance server web | Instance browser |
| Respons | DEST | 10.240.0.200 | 192.168.1.2 | Instance browser |
VM yang meminta tidak mengetahui VM mana yang akan merespons permintaan. Selain itu, karena VM lain mengirimkan respons dengan IP load balancing internal sebagai alamat sumber, VM yang meminta tidak tahu VM mana yang telah meresponsnya.
Karena alasan ini, VM yang meminta tidak dapat menambahkan informasi dest_instance ke
laporannya, hanya informasi src_instance. Karena VM yang merespons mengetahui alamat IP VM lainnya, VM yang merespons dapat menyediakan informasi src_instance dan dest_instance.
Aliran Pod ke ClusterIP
Dalam contoh ini, traffic dikirim dari Pod klien (10.4.0.2) ke cluster-service
(10.0.32.2:80). Tujuan ditetapkan ke alamat IP Pod server yang dipilih (10.4.0.3) pada port target (8080).
Di edge node, flow diambil sampelnya dua kali dengan port dan alamat IP
yang diterjemahkan. Untuk kedua titik pengambilan sampel, kita akan mengidentifikasi bahwa Pod tujuan
mendukung cluster-service layanan pada port 8080, dan menganotasi data dengan
detail Service serta detail Pod. Jika traffic dirutekan ke Pod di node yang sama, traffic tidak akan meninggalkan node dan tidak diambil sampelnya sama sekali.
Dalam contoh ini, data berikut ditemukan.
| pelapor | connection.src_ip | connection.dst_ip | bytes_sent | Anotasi |
|---|---|---|---|---|
| SRC | 10.4.0.2 | 10.4.0.3 | 1.224 |
src_instance.* src_vpc.* src_gke_details.cluster.* src_gke_details.pod.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
| DEST | 10.4.0.2 | 10.4.0.3 | 1.224 |
src_instance.* src_vpc.* src_gke_details.cluster.* src_gke_details.pod.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
Aliran LoadBalancer eksternal GKE
Traffic dari alamat IP eksternal ke layanan GKE (35.35.35.35) dirutekan ke node dalam cluster, yaitu 10.0.12.2 dalam contoh ini, untuk perutean. Secara default, Load Balancer Jaringan passthrough eksternal mendistribusikan traffic ke semua node dalam cluster, termasuk node yang tidak menjalankan Pod yang relevan. Traffic mungkin memerlukan hop tambahan untuk sampai ke Pod yang relevan. Untuk mengetahui informasi selengkapnya, lihat Jaringan di luar cluster.
Traffic dirutekan dari node (10.0.12.2) ke Pod server yang dipilih (10.4.0.2). Kedua hop dicatat karena semua edge node diambil sampelnya. Jika traffic dirutekan ke Pod pada node yang sama, 10.4.0.3 dalam contoh ini, hop kedua tidak akan dicatat dalam log karena tidak meninggalkan node.
Hop kedua dicatat oleh titik pengambilan sampel kedua node. Untuk hop pertama, kami mengidentifikasi Service berdasarkan IP load balancer dan port Service (80). Untuk hop kedua, kami mengidentifikasi bahwa Pod tujuan mendukung Layanan di port target (8080).
Dalam contoh ini, data berikut ditemukan.
| pelapor | connection.src_ip | connection.dst_ip | bytes_sent | Anotasi |
|---|---|---|---|---|
| DEST | 203.0.113.1 | 35.35.35.35 | 1.224 |
src_location.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.service.* |
| SRC | 10.0.12.2 | 10.4.0.2 | 1.224 |
src_instance.* src_vpc.* src_gke_details.cluster.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
| DEST | 10.0.12.2 | 10.4.0.2 | 1.224 |
src_instance.* src_vpc.* src_gke_details.cluster.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
Aliran Ingres GKE
Koneksi dari alamat IP publik ke tujuan Ingress dihentikan di Service Load Balancer. Koneksi dipetakan ke Service NodePort sesuai dengan URL. Untuk melayani permintaan, load balancer
(130.211.0.1) terhubung ke salah satu node cluster (10.0.12.2) untuk perutean
menggunakan NodePort Service. Secara default, saat membuat Ingress, pengontrol Ingress GKE mengonfigurasi load balancer HTTP(S) yang mendistribusikan traffic di semua node dalam cluster, termasuk yang tidak menjalankan Pod yang relevan. Traffic mungkin memerlukan hop ekstra untuk mencapai
Pod yang relevan. Untuk mengetahui informasi selengkapnya, lihat Jaringan di luar cluster.
Traffic dirutekan dari node (10.0.12.2) ke Pod server yang dipilih (10.4.0.2).
Kedua hop dicatat karena semua edge node diambil sampelnya. Untuk hop pertama, kami mengidentifikasi Service berdasarkan NodePort (60000) Service. Untuk hop kedua, kita mengidentifikasi bahwa Pod tujuan mendukung Service pada port target (8080). Hop kedua dicatat oleh titik pengambilan sampel kedua node.
Namun, jika traffic dirutekan ke Pod pada node yang sama (10.4.0.3), hop kedua tidak akan dicatat dalam log karena traffic tidak meninggalkan node.
Dalam contoh ini, data berikut ditemukan.
| pelapor | connection.src_ip | connection.dst_ip | bytes_sent | Anotasi |
|---|---|---|---|---|
| DEST | 130.211.0.1 | 10.0.12.2 | 1.224 |
{i>dest_instance<i}.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.service.* |
| SRC | 10.0.12.2 | 10.4.0.2 | 1.224 |
src_instance.* src_vpc.* src_gke_details.cluster.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
| DEST | 10.0.12.2 | 10.4.0.2 | 1.224 |
src_instance.* src_vpc.* src_gke_details.cluster.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
Aliran Ingress GKE menggunakan load balancing berbasis container
Permintaan dari alamat IP publik ke Ingress yang menggunakan load balancing berbasis container akan dihentikan di load balancer. Dalam jenis Ingress ini, Pod adalah objek inti untuk load balancing.
Kemudian, permintaan dikirim dari load balancer (130.211.0.1) langsung ke Pod yang dipilih (10.4.0.2). Kami mengidentifikasi bahwa Pod tujuan mendukung Service pada port target (8080).
Dalam contoh ini, data berikut ditemukan.
| pelapor | connection.src_ip | connection.dst_ip | bytes_sent | Anotasi |
|---|---|---|---|---|
| DEST | 130.211.0.1 | 10.4.0.2 | 1.224 |
{i>dest_instance<i}.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
Pod ke aliran eksternal
Traffic dari Pod (10.4.0.3) ke IP eksternal (203.0.113.1) dimodifikasi oleh IP yang menyamar sehingga paket dikirim dari IP node (10.0.12.2), bukan IP Pod. Secara default, cluster GKE dikonfigurasi untuk menyamarkan traffic ke tujuan eksternal. Untuk mengetahui informasi selengkapnya, lihat
Agen penyamaran IP.
Agar dapat melihat anotasi Pod untuk traffic ini, Anda dapat mengonfigurasi agen penyamaran agar tidak menyamarkan IP pod. Dalam kasus semacam ini, untuk mengizinkan traffic ke internet, Anda dapat mengonfigurasi Cloud NAT, yang memproses alamat IP Pod. Untuk mengetahui informasi lebih lanjut tentang Cloud NAT dengan GKE, tinjau interaksi GKE.
Dalam contoh ini, data berikut ditemukan.
| pelapor | connection.src_ip | connection.dst_ip | bytes_sent | Anotasi |
|---|---|---|---|---|
| SRC | 10.0.12.2 | 203.0.113.1 | 1.224 |
src_instance.* src_vpc.* src_gke_details.cluster.* dest_location.* internet_routing_details.* |