虛擬私有雲流量記錄
虛擬私有雲流量記錄會從虛擬私有雲 (VPC) 網路中取樣封包,藉此產生流量記錄。流量記錄會依 IP 連線 (5 元組) 匯總。虛擬私有雲流量記錄會對下列封包取樣:
- 虛擬機器 (VM) 執行個體收發的封包,包括做為 Google Kubernetes Engine 節點的執行個體
- 透過 Cloud Interconnect 的 VLAN 連結和 Cloud VPN 通道傳送的封包
您可以在 Cloud Logging 中查看流量記錄,也能將記錄匯出至 Cloud Logging 匯出功能支援的任何目的地。這類記錄檔可用於網路監控、鑑識、安全性分析和支出最佳化。
詳情請參閱「支援的設定」。
用途
以下是虛擬私有雲流程記錄檔的用途。
網路監控
虛擬私有雲流量記錄可讓您掌握網路輸送量和效能。您可以:
- 監控虛擬私人雲端網路
- 執行網路診斷
- 依 VM、VLAN 連結和 Cloud VPN 通道篩選流程記錄,以利瞭解流量變化
- 瞭解流量增加情形,以利預測容量
瞭解網路用量並調整最理想的網路流量費用
您可以透過虛擬私有雲流量記錄分析網路用量,進而節省網路流量支出。舉例來說,您可以分析下列項目的網路流量:
- 地區和區域之間的流量
- 網際網路上傳送至特定國家/地區的流量
- 傳入地端部署和其他雲端網路的流量
- 網路中傳輸量最高的項目,包括 VM、VLAN 連結和 Cloud VPN 通道
網路識別
您可以使用虛擬私有雲流量記錄進行網路鑑識。舉例來說,您可以在事件發生時檢查以下事項:
- 哪個 IP 在何時與什麼對象通訊
- 分析所有內送或外送的網路流程,確認是否有 IP 遭到入侵
支援的設定
您可以在組織和專案層級啟用虛擬私有雲流量記錄。組織層級的虛擬私有雲流量記錄設定,可為組織中所有虛擬私有雲網路的所有子網路、VLAN 連結和 Cloud VPN 通道啟用流量記錄。
在專案層級,您可以為特定虛擬私有雲網路、子網路、VLAN 連結和 Cloud VPN 通道啟用虛擬私有雲流量記錄。
設定範圍 | 為這些資源產生流程記錄 | 啟用步驟 |
---|---|---|
機構 |
|
為機構啟用虛擬私有雲流量記錄 (預覽版) |
虛擬私有雲網路 |
|
為虛擬私有雲網路啟用虛擬私有雲流量記錄 (預覽版) |
子網路 | 特定子網路中的所有 VM 執行個體 | 為子網路啟用虛擬私有雲流量記錄: |
VLAN 連結 | 特定 VLAN 連結 | 為 VLAN 連結啟用虛擬私有雲流量記錄 |
Cloud VPN 通道 | 特定 Cloud VPN 通道 | 為 Cloud VPN 通道啟用虛擬私有雲流量記錄 |
您可以透過篩選器自訂這些設定範圍。詳情請參閱「記錄檔取樣與處理」。
記錄收集
系統會在匯總間隔內取樣封包。在匯總間隔內,針對指定 IP 連線收集的所有封包,都會匯總到單一流程記錄項目中。然後,這項資料會傳送至 Google Cloud 虛擬私有雲網路專案中的記錄,該專案回報了流程。
記錄預設會在 Logging 中儲存 30 天。如想延長記錄保留時間,可以設定自訂保留期限,或將記錄匯出到可支援的目的地。
記錄檔取樣與處理
虛擬私有雲流量記錄會對進出 VM 的封包或通過閘道的封包 (例如 VLAN 連結或 Cloud VPN 通道) 進行取樣,產生流量記錄。產生流程記錄後,虛擬私有雲流量記錄會按照本節所述程序處理這些記錄。
虛擬私有雲流量記錄檔會使用主要取樣率對封包取樣。主要取樣率是動態的,會根據取樣時執行 VM 或閘道的實體主機負載而有所不同。封包數量越多,取樣任何單一 IP 連線的機率就越高。您無法控制初級流量記錄檔取樣程序,也無法調整初級取樣率。
產生流量記錄後,虛擬私有雲流量記錄會按照下列程序處理這些記錄:
- 篩選。您可以指定只產生符合特定條件的記錄。舉例來說,您可以篩選記錄,只產生特定 VM 的記錄,或只產生具有特定中繼資料值的記錄,其餘記錄則會捨棄。詳情請參閱篩選記錄。
- 匯總:系統會匯總可設定的匯總間隔內取樣封包的資訊,產生流量記錄項目。
- 次要流量記錄檔取樣。這是第二次取樣程序。系統會根據可設定的次要取樣率參數,進一步對流程記錄項目進行取樣。次級取樣作業的取樣對象,是初級流量記錄檔取樣程序產生的流量記錄。舉例來說,如果次級取樣率設為 1.0 或 100%,則對於由初級流量記錄檔取樣作業所產生的流量記錄檔,虛擬私有雲流量記錄檔會 100% 取樣。
- 中繼資料。如果停用,系統會捨棄所有中繼資料註解。如要保留中繼資料,可以指定保留所有欄位或特定欄位組合。詳情請參閱「中繼資料註解」。
- 寫入記錄。最終的記錄項目會寫入 Cloud Logging。
由於虛擬私有雲端流程記錄不會擷取每個封包,因此會從擷取的封包進行插補,以補償遺失的封包。這是因為初始和使用者可設定的取樣設定,導致封包遺失。
即使 Google Cloud 不會擷取每個封包,記錄擷取也可能會非常大。您可以對記錄收集的下列方面進行調整,以在流量瀏覽權限與儲存費用需求之間取得平衡:
- 匯總時間間隔。系統會將某個時間間隔的取樣封包匯總到單一記錄項目中。這個時間間隔可以是 5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。
- 次級取樣率。
- 如果是透過 Compute Engine API 建立的設定,系統預設會保留 50% 的記錄項目。您可以將這個參數從
1.0
(100%,即會保留所有記錄項目) 設定為0.0
(0%,即不會保留任何項目)。 - 如果是使用 Network Management API 建立的設定,系統預設會保留 100% 的記錄項目。您可以將
1.0
的這個參數設為大於0.0
。
- 如果是透過 Compute Engine API 建立的設定,系統預設會保留 50% 的記錄項目。您可以將這個參數從
- 中繼資料註解。根據預設,流程記錄項目會以中繼資料資訊加註,例如 Google Cloud 內來源與目的地的名稱,或外部來源與目的地的地理區域。您可以關閉中繼資料註解,或只指定特定註解,以節省儲存空間。
- 篩選。根據預設,系統會為每個取樣流程產生記錄。 您可以設定篩選器,只產生符合特定條件的記錄。
規格
- 啟用虛擬私有雲流量記錄檔時,不會造成延遲或效能降低。
- 虛擬私有雲流量記錄適用於虛擬私有雲網路,不適用於舊版網路。
- 虛擬私有雲流量記錄會取樣 TCP、UDP、ICMP、ESP、GRE 和 RDMA 流量:
- 系統會對傳入和傳出流程進行取樣。如果是透過融合乙太網路 (RoCE) 的 RDMA,則只會取樣外送流程。
- 流量可位於 Google Cloud 或介於 Google Cloud 其他網路之間。
- 如果取樣作業擷取到流量,虛擬私有雲流量記錄就會產生該流量的記錄。每項流程記錄都會包含記錄格式一節說明的資料。
- 虛擬私有雲流程記錄會透過下列方式與防火牆規則互動:
- 系統會在輸出防火牆規則「之前」取樣輸出封包。即使輸出防火牆規則拒絕輸出封包,虛擬私有雲端流程記錄仍可對這些封包進行取樣。
- 系統會在輸入防火牆規則之後,對輸入封包進行取樣。如果輸入防火牆規則拒絕傳入封包,虛擬私有雲流程記錄就不會對這些封包進行取樣。
- 您可以在虛擬私有雲端流程記錄檔中使用篩選器,只產生特定記錄。
- 虛擬私有雲流程記錄支援具有多個網路介面的 VM。您必須為每個虛擬私有雲中含有網路介面的子網路啟用虛擬私有雲流量記錄。
- 如要記錄相同 Google Kubernetes Engine (GKE) 節點上 Pod 之間的流量,您必須為叢集啟用節點內可視性。
- Cloud Run 資源不支援虛擬私有雲流程記錄。
- 用途為
INTERNAL_HTTPS_LOAD_BALANCER
的子網路不支援虛擬私有雲流量記錄,因為這類子網路僅做為 Proxy 子網路,沒有 VM 執行個體。 - 虛擬私有雲流量記錄會將記錄寫入報表虛擬私有雲網路的專案。如果是共用虛擬私有雲網路中的資源,記錄會回報至主專案。
價格與計費
這項服務以 Logging、BigQuery 或 Pub/Sub 的標準價格計費。如要瞭解虛擬私有雲流量記錄定價,請參閱網路遙測定價一文。
系統會向 Google Cloud 回報流量記錄的資源所屬專案收取虛擬私有雲流量記錄費用。如果機構啟用虛擬私有雲流量記錄,每個專案的費用會分開計算。
後續步驟
- 如要進一步瞭解虛擬私有雲流量記錄的記錄格式,以及可用的中繼資料註解,請參閱「關於虛擬私有雲流量記錄」。
- 如要查看各種用途的虛擬私有雲流量記錄收集範例,請參閱「關於流量流程」。
- 如要開始回報子網路的流量,請參閱「設定虛擬私有雲流量記錄」。