Log di flusso VPC

I log di flusso VPC registrano un campione di pacchetti inviati e ricevuti dalle istanze di macchine virtuali (VM), incluse quelle utilizzate come nodi Google Kubernetes Engine, nonché di pacchetti inviati tramite i collegamenti VLAN per Cloud Interconnect e i tunnel Cloud VPN (anteprima).

I log di flusso vengono aggregati per connessione IP (5 tuple). Questi log possono essere utilizzati per monitoraggio della rete, analisi forense, analisi della sicurezza e ottimizzazione delle spese.

Puoi visualizzare i log di flusso in Cloud Logging e può esportare i log in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging.

Casi d'uso

Monitoraggio della rete

I log di flusso VPC ti offrono visibilità sul throughput e sulle prestazioni della rete. Puoi:

  • Monitora la rete VPC
  • Esegui diagnostica di rete
  • Filtra i log di flusso in base a VM, collegamenti VLAN e Tunnel Cloud VPN per comprendere le variazioni del traffico
  • Comprendere la crescita del traffico per la previsione della capacità

Informazioni sull'utilizzo della rete e ottimizzazione delle spese legate al traffico di rete

Puoi analizzare l'utilizzo della rete con i log di flusso VPC ottimizzare le spese legate al traffico di rete. Ad esempio, puoi analizza i flussi di rete per:

  • Traffico tra regioni e zone
  • Traffico verso paesi specifici su Internet
  • Traffico verso reti on-premise e di altri cloud
  • Principali utenti della rete, tra cui VM, collegamenti VLAN e tunnel VPN Cloud

Analisi forensi della rete

Puoi utilizzare i log di flusso VPC per la network forensics. Ad esempio: Se si verifica un incidente, puoi esaminare quanto segue:

  • Quali IP hanno comunicato con chi e quando
  • Eventuali IP compromessi analizzando tutti i flussi di rete in entrata e in uscita

Specifiche

  • I log di flusso VPC fanno parte di Andromeda, il software che alimenta reti VPC. I log di flusso VPC non introducono ritardi o una penalizzazione delle prestazioni.
  • I log di flusso VPC funzionano con le reti VPC, non con le reti legacy. Puoi attivare o disattivare i log di flusso VPC per subnet, collegamento VLAN per Cloud Interconnect (anteprima) o tunnel Cloud VPN (anteprima). Se abilitati per una subnet, i log di flusso VPC raccolgono i dati da tutte le istanze VM, inclusi i nodi GKE, in quella subnet.
  • Log di flusso VPC esempi di TCP, UDP, ICMP, ESP e dei flussi GRE. Vengono campionati sia i flussi in entrata che quelli in uscita. Questi flussi possono essere all'interno di Google Cloud o tra Google Cloud e altre reti. Se un flusso viene acquisito tramite campionamento, i log di flusso VPC generano un log per il flusso. Ogni record di flusso include le informazioni descritte nei Sezione Formato record.
  • I log di flusso VPC interagiscono con le regole firewall nel modi:
    • I pacchetti in uscita vengono campionati prima delle regole del firewall in uscita. Anche se una regola firewall in uscita nega i pacchetti in uscita, possono essere campionate dai log di flusso VPC.
    • I pacchetti in entrata vengono campionati dopo le regole firewall in entrata. Se una regola firewall in entrata nega i pacchetti in entrata, che non vengono campionate dai log di flusso VPC.
  • Puoi utilizzare i filtri nei log di flusso VPC per generare solo determinati log.
  • I log di flusso VPC supportano VM con più interfacce di rete. Devi abilitare i log di flusso VPC per ogni subnet, in ogni che contiene un'interfaccia di rete.
  • Per registrare i flussi tra i pod sullo stesso nodo Google Kubernetes Engine (GKE), devi attivare la visibilità intranodo per il cluster.
  • I log di flusso VPC non vengono segnalati dalle risorse Cloud Run.

Raccolta di log

I pacchetti vengono campionati in un intervallo di aggregazione. Tutti i pacchetti raccolti per una determinata connessione IP all'interno dell'intervallo di aggregazione vengono aggregati in un con una singola voce di log di flusso. Questi dati vengono poi inviati a Logging.

Per impostazione predefinita, i log vengono archiviati in Logging per 30 giorni. Se Se vuoi conservare i log per un periodo di tempo più lungo, puoi impostare una periodo di conservazione o esportarle in un ambiente destinazione.

Campionamento ed elaborazione dei log

Per generare log di flusso, i log di flusso VPC campionano i pacchetti che entrano ed escono da una VM o passano attraverso un gateway, ad esempio un collegamento VLAN o un tunnel Cloud VPN. Dopo che i log di flusso sono stati generati, VPC Flow Logs li elabora seguendo la procedura descritta in questa sezione.

I log di flusso VPC campionano i pacchetti utilizzando una frequenza di campionamento principale. La frequenza di campionamento principale è dinamica e varia a seconda del carico dell'host fisico che esegue la VM o il gateway momento del campionamento. La probabilità di campionare una singola connessione IP aumenta con il volume dei pacchetti. Non puoi controllare il processo di campionamento dei log di flusso principale o regolare la frequenza di campionamento principale.

Dopo aver generato i log di flusso, i log di flusso VPC li elaborano in base alla seguente procedura:

  1. Filtri: puoi indicare che solo i log che soddisfano i criteri specificati vengono generati. Ad esempio, puoi filtrare in modo da generare solo i log per una determinata VM o solo i log con un determinato valore dei metadati e ignorare il resto. Per ulteriori informazioni, consulta Filtro dei log.
  2. Aggregazione: le informazioni relative ai pacchetti campionati vengono aggregate in un intervallo di aggregazione configurabile per produrre una voce del log di flusso.
  3. Campionamento secondario dei log di flusso: si tratta di un secondo processo di campionamento. Voci di log di flusso vengono ulteriormente campionati in base a un parametro configurabile della frequenza di campionamento secondaria. Il campionamento secondario viene eseguito sui log di flusso generati dal processo di campionamento primario dei log di flusso. Ad esempio, se il campionamento secondario la frequenza è impostata su 1,0 o 100%; i log di flusso VPC campionano il 100% del i log di flusso generati dal campionamento dei log di flusso primario.
  4. Metadati: se questa opzione è disattivata, tutte le annotazioni dei metadati vengono ignorate. Se Se vuoi conservare i metadati, puoi specificare che tutti i campi insieme di campi specificato. Per ulteriori informazioni, consulta la sezione Annotazioni metadati.
  5. Scrive in Logging: le voci di log finali vengono scritte in Cloud Logging.

Poiché i log di flusso VPC non acquisiscono tutti i pacchetti, compensano i pacchetti mancanti mediante l'interpolazione dei pacchetti acquisiti. Questo accade per i pacchetti persi a causa delle impostazioni di campionamento iniziali e configurabili dall'utente.

Anche se Google Cloud non acquisisce tutti i pacchetti, le acquisizioni dei record di log possono essere piuttosto grandi. Puoi bilanciare la visibilità del traffico e i costi di archiviazione regolando i seguenti aspetti della raccolta dei log:

  • Intervallo di aggregazione: i pacchetti campionati per un intervallo di tempo vengono aggregati. in un'unica voce di log. Questo intervallo di tempo può essere di 5 secondi (impostazione predefinita), 30 secondi, 1 minuto, 5 minuti, 10 minuti o 15 minuti.
  • Frequenza di campionamento secondaria:
    • Per le VM, il 50% delle voci di log viene mantenuto per impostazione predefinita. Puoi impostare questa parametro da 1.0 (100%, vengono mantenute tutte le voci di log) su 0.0 (0%, non viene conservato nessun log).
    • Per i collegamenti VLAN e i tunnel Cloud VPN, per impostazione predefinita viene conservato il 100% delle voci di log. Puoi impostare questa parametro da 1.0 a maggiore di 0.0.
  • Annotazioni sui metadati: per impostazione predefinita, le voci di log di flusso vengono annotate con informazioni sui metadati, ad esempio i nomi dell'origine e della destinazione in Google Cloud o la regione geografica delle origini e delle destinazioni esterne. Per risparmiare spazio di archiviazione, puoi disattivare le annotazioni sui metadati o specificarne solo alcune.
  • Filtro: per impostazione predefinita, i log vengono generati per ogni flusso campionato. Puoi impostare i filtri in modo che vengano generati solo i log che corrispondono a determinati criteri.

Prezzi

Prezzi standard per Logging, BigQuery o Pub/Sub. I prezzi dei log di flusso VPC sono descritti in Prezzi della telemetria di rete.

Passaggi successivi