Registros de flujo de VPC

Los registros de flujo de VPC registran una muestra de paquetes que las instancias de máquina virtual (VM) envían y reciben, incluidas las instancias que se usan como nodos de Google Kubernetes Engine, y los paquetes que se envían a través de adjuntos de VLAN para Cloud Interconnect y túneles de Cloud VPN (versión preliminar).

Los registros de flujo se agregan por conexión IP (5 tuplas). Estos registros se pueden usar para supervisar redes, detectar intrusiones, realizar análisis de seguridad y optimizar gastos.

Puedes ver los registros de flujo en Cloud Logging y los puedes exportar a cualquier destino que admita la exportación de Cloud Logging.

Casos de uso

Supervisión de red

Los registros de flujo de VPC te permiten ver la capacidad de procesamiento y el rendimiento de la red. Puedes hacer lo siguiente:

  • Supervisar la red de VPC
  • Realizar diagnósticos de la red
  • Filtrar los registros de flujo por VMs, adjuntos de VLAN y túneles de Cloud VPN para comprender los cambios en el tráfico
  • Comprender el crecimiento del tráfico para realizar una previsión de la capacidad

Comprende el uso de la red y optimiza los gastos de tráfico de red

Puedes analizar el uso de la red con los registros de flujo de VPC para optimizar los gastos del tráfico de red. Por ejemplo, puedes analizar los siguientes elementos del flujo de la red:

  • El tráfico entre regiones y zonas
  • El tráfico de Internet hacia países específicos
  • Tráfico a redes locales y otras redes de nube
  • Los principales usuarios de la red, incluidas las VM, los adjuntos de VLAN y los túneles de Cloud VPN

Intrusiones en la red

Puedes utilizar el registro de flujo de VPC para detectar las intrusiones en la red. Por ejemplo, si ocurre un incidente, puedes examinar los siguientes elementos:

  • Qué IP se comunicó con quién y en qué momento
  • Los IP comprometidos, con el análisis del flujo de red de entrada y de salida

Especificaciones

  • Los registros de flujo de VPC son parte de Andromeda, el software que impulsa las redes de VPC. Los registros de flujo de VPC no presentan demoras ni penalizaciones de rendimiento cuando se habilitan.
  • Los registros de flujo de VPC funcionan con redes de VPC, no con redes heredadas. Puedes habilitar o inhabilitar los registros de flujo de VPC por subred, adjunto de VLAN para Cloud Interconnect (versión preliminar) o túnel de Cloud VPN (versión preliminar). Si se habilitan en una subred, los registros de flujo de VPC recopilan datos de todas las instancias de VM, incluidos los nodos de GKE, en esa subred.
  • Los registros de flujo de VPC realizan un muestreo de los flujos de TCP, UDP, ICMP, ESP y GRE. Se realizan muestreos de los flujos entrantes y salientes. Estos flujos pueden ser dentro de Google Cloud o entre Google Cloud y otras redes. Si se captura un flujo con el muestreo, los registros de flujo de VPC generan un registro para el flujo. Cada informe de flujo incluye la información que se describe en la sección Formato del registro.
  • Los registros de flujo de VPC interactúan con reglas de firewall de las siguientes maneras:
    • Los paquetes de salida se muestrean antes de las reglas de firewall de salida. Incluso si una regla de firewall de salida rechaza los paquetes salientes, los registros de flujo de VPC pueden muestrear esos paquetes.
    • Los paquetes de entrada se muestrean después de las reglas de firewall de entrada. Si una regla de firewall de entrada deniega paquetes entrantes, los registros de flujo de VPC no muestrean esos paquetes.
  • Puedes usar filtros en los registros de flujo de VPC para generar solo ciertos registros.
  • Los registros de flujo de VPC admiten las VM que tienen interfaces de red múltiples. Debes habilitar los registros de flujo de VPC para cada subred, en cada VPC, que contenga una interfaz de red.
  • Para registrar flujos entre Pods en el mismo nodo de Google Kubernetes Engine (GKE), debes habilitar la visibilidad dentro de los nodos del clúster.
  • Los registros de flujo de VPC no se informan desde los recursos de Cloud Run.

Recopilación de registros

Los paquetes se muestrean dentro de un intervalo de agregación. Todos los paquetes recopilados para una conexión IP determinada dentro del intervalo de agregación se agregan en una sola entrada de registro de flujo. Estos datos se envían a Logging.

Los registros se almacenan en Logging durante 30 días de forma predeterminada. Si quieres conservar los registros por más tiempo, puedes configurar un período de retención personalizado o exportarlos a un destino admitido.

Muestreo y procesamiento de registros

Para generar registros de flujo, los registros de flujo de VPC muestrean los paquetes que entran y salen de una VM o pasan por una puerta de enlace, como un adjunto de VLAN o un túnel de Cloud VPN. Después de que se generan los registros de flujo, los registros de flujo de VPC los procesan siguiendo el procedimiento que se describe en esta sección.

Los registros de flujo de VPC toman muestras de paquetes con una tasa de muestreo principal. La tasa de muestreo principal es dinámica y varía según la carga del host físico que ejecuta la VM o la puerta de enlace en el momento del muestreo. La probabilidad de muestrear cualquier conexión de IP única aumenta con el volumen de paquetes. No puedes controlar el proceso de muestreo del registro de flujo principal ni ajustar la tasa de muestreo principal.

Después de que se generan los registros de flujo, los registros de flujo de VPC los procesan de acuerdo con el siguiente procedimiento:

  1. Filtros: Puedes especificar que solo se generen los registros que coinciden con los criterios especificados. Por ejemplo, puedes filtrar para que solo se generen registros para una VM en particular o solo los registros con un valor de metadatos específico y se descarta el resto. Para obtener más información, consulta Filtrado de registros.
  2. Agregación: La información de los paquetes de muestra se agrega en un intervalo de agregación configurable para producir una entrada de registro de flujo.
  3. Muestreo secundario del registro de flujo: Este es un segundo proceso de muestreo. Las entradas del registro de flujo también se muestrean según un parámetro configurable de tasa de muestreo secundaria. El muestreo secundario se realiza en los registros de flujo generados por el proceso de muestreo de registros de flujo primario. Por ejemplo, si la tasa de muestreo secundario se establece en 1.0 o un 100%, los registros de flujo de VPC muestrean el 100% de los registros generados por el proceso principal.
  4. Metadatos: Si se inhabilita, se descartan todas las anotaciones de metadatos. Si deseas conservar los metadatos, puedes especificar que se conserven todos los campos o un conjunto de campos especificado. Para obtener más información, consulta Anotaciones de metadatos.
  5. Escritura en Logging: Las entradas finales de registro se escriben en Cloud Logging.

Debido a que los registros de flujo de VPC no capturan todos los paquetes, compensa los paquetes perdidos a través de la interpolación de los paquetes capturados. Esto sucede para los paquetes que se pierden debido a la configuración de muestreo inicial y configurable por el usuario.

A pesar de que Google Cloud no captura todos los paquetes, las capturas de registros pueden ser bastante grandes. Para equilibrar las necesidades de visibilidad del tráfico y de costo de almacenamiento, ajusta los siguientes aspectos de la recopilación de registros:

  • Intervalo de agregación: Los paquetes de muestra de un intervalo de tiempo se agregan en una sola entrada de registro. Este intervalo de tiempo puede ser de 5 segundos (predeterminado), 30 segundos, 1 minuto, 5 minutos, 10 minutos o 15 minutos.
  • Tasa de muestreo secundaria:
    • En el caso de las VMs, se conserva el 50% de las entradas de registro de forma predeterminada. Puedes configurar este parámetro de 1.0 (100%, se conservan todas las entradas de registro) a 0.0 (0%, no se conserva ningún registro).
    • En el caso de los adjuntos de VLAN y los túneles de Cloud VPN, se conserva el 100% de las entradas de registro de forma predeterminada. Puedes configurar este parámetro de 1.0 a un valor superior a 0.0.
  • Anotaciones de metadatos: De manera predeterminada, se anotan las entradas del registro de flujo con información de metadatos, como los nombres del origen y el destino dentro de Google Cloud o la región geográfica de fuentes y destinos externos. Las anotaciones de metadatos se pueden desactivar, o puedes especificar solo ciertas anotaciones para ahorrar espacio de almacenamiento.
  • Filtros: De forma predeterminada, se generan registros para cada flujo de muestra. Puedes establecer filtros para que solo se generen registros que coincidan con ciertos criterios.

Precios

Se aplicará el precio estándar para Logging, BigQuery o Pub/Sub. El precio de los registros de flujo de VPC se describe en Precios de telemetría de red.

¿Qué sigue?