Duplikasi Paket

Halaman ini merupakan ringkasan Duplikasi Paket.

Duplikasi Paket mengkloning traffic instance tertentu di jaringan Virtual Private Cloud (VPC) Anda dan meneruskannya untuk diperiksa. Duplikasi Paket mencatat semua data traffic dan paket, termasuk payload dan header. Pencatatan dapat dikonfigurasi untuk traffic keluar dan masuk, untuk traffic masuk saja, atau traffic keluar saja.

Duplikasi terjadi di instance virtual machine (VM), bukan di jaringan. Akibatnya, Duplikasi Paket akan menggunakan bandwidth tambahan pada VM.

Duplikasi Paket berguna saat Anda harus memantau dan menganalisis status keamanan. Fitur ini mengekspor semua traffic, bukan hanya traffic di antara periode pengambilan sampel. Misalnya, Anda dapat menggunakan software keamanan yang menganalisis traffic yang diduplikasi untuk mendeteksi semua ancaman atau anomali. Selain itu, Anda dapat memeriksa aliran traffic lengkap untuk mendeteksi masalah performa aplikasi. Untuk mengetahui informasi selengkapnya, lihat contoh kasus penggunaan.

Cara kerjanya

Duplikasi Paket menyalin traffic dari sumber yang diduplikasi dan mengirimkannya ke tujuan kolektor. Untuk mengonfigurasi Duplikasi Paket, buat kebijakan duplikasi paket yang menentukan sumber dan tujuan.

  • Sumber yang diduplikasi adalah instance VM Compute Engine yang dapat Anda pilih dengan menentukan subnet, tag jaringan, atau nama instance. Jika Anda menentukan subnet, semua instance yang ada dan yang akan datang di subnet tersebut akan diduplikasi. Anda dapat menentukan satu atau beberapa jenis sumber—jika satu instance cocok dengan setidaknya salah satu jenis sumber, instance tersebut akan diduplikasi.

    Duplikasi Paket mengumpulkan traffic dari antarmuka jaringan instance di jaringan tempat kebijakan duplikasi paket diterapkan. Dalam kasus ketika instance memiliki beberapa antarmuka jaringan, antarmuka lainnya tidak diduplikasi kecuali jika kebijakan lain telah dikonfigurasi untuk melakukannya.

  • Tujuan kolektor adalah grup instance yang berada di balik load balancer internal. Instance dalam grup instance disebut sebagai instance kolektor.

    Saat menentukan tujuan kolektor, masukkan nama aturan penerusan yang terkait dengan Load Balancer Jaringan passthrough internal. Google Cloud kemudian meneruskan traffic yang diduplikasi ke instance kolektor. Load balancer internal untuk Duplikasi Paket mirip dengan load balancer internal lainnya, hanya saja aturan penerusan harus dikonfigurasi untuk Duplikasi Paket. Semua traffic yang tidak diduplikasi yang dikirim ke load balancer akan dihapus.

Pemfilteran

Secara default, Duplikasi Paket mengumpulkan semua traffic IPv4 dari instance yang diduplikasi. Alih-alih mengumpulkan semua traffic IPv4, Anda dapat menggunakan filter untuk memperluas traffic yang dikumpulkan agar menyertakan semua atau sebagian traffic IPv6. Anda juga dapat menggunakan filter untuk mempersempit traffic yang diduplikasi, yang dapat membantu Anda membatasi bandwidth yang digunakan oleh instance yang diduplikasi.

Anda dapat mengonfigurasi filter untuk mengumpulkan traffic berdasarkan protokol, rentang CIDR (IPv4, IPv6, atau keduanya), arah traffic (hanya traffic masuk, traffic keluar, atau keduanya), atau kombinasi keduanya.

Urutan kebijakan

Beberapa kebijakan duplikasi paket dapat berlaku pada satu instance. Prioritas kebijakan duplikasi paket selalu 1000 dan tidak dapat diubah. Kebijakan yang sama tidak didukung. Google Cloud dapat mengirim traffic ke salah satu load balancer yang telah dikonfigurasi dengan kebijakan duplikasi paket yang identik. Untuk mengirim traffic yang diduplikasi ke satu load balancer secara konsisten dan dapat diprediksi, buat kebijakan yang memiliki filter dengan rentang alamat yang tidak tumpang tindih. Jika rentang tumpang tindih, tetapkan protokol filter yang unik.

Bergantung pada filter setiap kebijakan, Google Cloud memilih kebijakan untuk setiap aliran. Jika Anda memiliki kebijakan yang berbeda, Google Cloud akan menggunakan kebijakan terkait yang cocok dengan traffic yang diduplikasi. Misalnya, Anda mungkin memiliki satu kebijakan yang memiliki filter 198.51.100.3/24:TCP dan kebijakan lain yang memiliki filter 2001:db8::/64:TCP:UDP. Karena kebijakannya berbeda, tidak ada ambiguitas tentang kebijakan mana yang digunakan Google Cloud.

Namun, jika ada kebijakan yang tumpang tindih, Google Cloud akan mengevaluasi filternya untuk memilih kebijakan yang akan digunakan. Misalnya, Anda mungkin memiliki dua kebijakan, satu kebijakan memiliki filter untuk 10.0.0.0/24:TCP dan satu lagi untuk 10.0.0.0/16:TCP. Kebijakan ini tumpang tindih karena rentang CIDR-nya tumpang tindih.

Saat memilih kebijakan, Google Cloud memprioritaskan kebijakan dengan membandingkan ukuran rentang CIDR filternya.

Google Cloud memilih kebijakan berdasarkan filter:

  • Jika kebijakan memiliki rentang CIDR yang berbeda tetapi tumpang-tindih, dan protokol yang sama persis, Google Cloud akan memilih kebijakan yang menggunakan rentang CIDR yang paling spesifik. Misalnya, tujuan untuk paket TCP yang meninggalkan instance yang diduplikasi adalah 10.240.1.4, dan ada dua kebijakan dengan filter berikut: 10.240.1.0/24:ALL dan 10.240.0.0/16:TCP. Karena pencocokan paling spesifik untuk 10.240.1.4 adalah 10.240.1.0/24:ALL, Google Cloud akan menggunakan kebijakan yang memiliki filter 10.240.1.0/24:ALL.

  • Jika kebijakan menentukan rentang CIDR yang sama persis dengan protokol yang tumpang-tindih, Google Cloud akan memilih kebijakan dengan protokol yang paling spesifik. Misalnya, filter berikut memiliki rentang yang sama, tetapi protokolnya tumpang tindih: 10.240.1.0/24:TCP dan 10.240.1.0/24:ALL. Untuk pencocokan traffic TCP, Google Cloud menggunakan kebijakan 10.240.1.0/24:TCP. Kebijakan 10.240.1.0/24:ALL berlaku untuk pencocokan traffic terhadap semua protokol lainnya.

  • Jika memiliki rentang CIDR yang sama persis tetapi protokolnya berbeda, kebijakan tersebut tidak akan tumpang tindih. Google Cloud menggunakan kebijakan yang sesuai dengan protokol traffic yang diduplikasi. Misalnya, Anda mungkin memiliki kebijakan untuk 2001:db8::/64:TCP dan satu lagi untuk 2001:db8::/64:UDP. Tergantung pada protokol traffic yang diduplikasi, Google Cloud akan menggunakan kebijakan TCP atau UDP.

  • Jika kebijakan yang tumpang tindih memiliki filter yang sama persis, kebijakan tersebut akan identik. Dalam hal ini, Google Cloud dapat memilih kebijakan yang sama atau berbeda setiap kali traffic yang cocok dievaluasi ulang berdasarkan kebijakan tersebut. Sebaiknya Anda tidak membuat kebijakan duplikasi paket yang identik.

VPC Flow Logs

Log Aliran VPC tidak mencatat log paket yang diduplikasi. Jika instance kolektor berada di subnet yang mengaktifkan Log Aliran VPC, traffic yang dikirim langsung ke instance kolektor akan dicatat ke dalam log, termasuk traffic dari instance yang diduplikasi. Artinya, jika alamat IPv4 atau IPv6 tujuan asli cocok dengan alamat IPv4 atau IPv6 dari instance kolektor, alurnya akan dicatat ke dalam log.

Untuk mengetahui informasi selengkapnya tentang Log Aliran VPC, lihat Menggunakan Log Aliran VPC.

Properti utama

Daftar berikut menjelaskan batasan atau perilaku dengan Duplikasi Paket yang penting untuk dipahami sebelum Anda menggunakannya:

  • Setiap kebijakan duplikasi paket menentukan sumber yang diduplikasi dan tujuan kolektor. Anda harus mematuhi aturan berikut:

    • Semua sumber yang diduplikasi harus berada dalam project, jaringan VPC, dan region Google Cloud yang sama.
    • Tujuan kolektor harus berada di region yang sama dengan sumber yang diduplikasi. Tujuan kolektor dapat berada di jaringan VPC yang sama dengan sumber yang diduplikasi atau jaringan VPC yang terhubung ke jaringan sumber yang diduplikasi menggunakan Peering Jaringan VPC.
    • Setiap kebijakan duplikasi hanya dapat mereferensikan satu tujuan kolektor. Namun, satu tujuan kolektor dapat dirujuk oleh beberapa kebijakan duplikasi.
  • Semua protokol lapisan 4 didukung oleh Duplikasi Paket.

  • Anda tidak dapat menduplikasi dan mengumpulkan traffic di antarmuka jaringan instance VM yang sama karena hal ini akan menyebabkan loop duplikasi.

  • Untuk menduplikasi traffic yang diteruskan antara Pod pada node Google Kubernetes Engine (GKE) yang sama, Anda harus mengaktifkan visibilitas Intranode untuk cluster.

  • Untuk mencerminkan traffic IPv6, gunakan filter untuk menentukan rentang CIDR IPv6 dari traffic IPv6 yang ingin Anda duplikasi. Anda dapat mencerminkan semua traffic IPv6 menggunakan filter rentang CIDR dari ::/0. Anda dapat mencerminkan semua traffic IPv4 dan IPv6 menggunakan filter rentang CIDR yang dipisahkan koma berikut: 0.0.0.0/0,::/0.

  • Traffic yang diduplikasi menggunakan bandwidth pada instance yang diduplikasi. Misalnya, jika instance yang diduplikasi mengalami traffic masuk sebesar 1 Gbps dan traffic keluar sebesar 1 Gbps, total traffic pada instance tersebut adalah 1 Gbps untuk traffic masuk dan 3 Gbps untuk traffic keluar (traffic keluar normal sebesar 1 Gbps dan traffic keluar yang diduplikasi sebesar 2 Gbps). Untuk membatasi traffic yang dikumpulkan, Anda dapat menggunakan filter.

  • Biaya Duplikasi Paket bervariasi bergantung pada jumlah traffic keluar yang beralih dari instance yang diduplikasi ke grup instance dan apakah traffic berpindah antarzona.

  • Duplikasi Paket berlaku untuk traffic masuk dan keluar. Jika dua instance VM yang diduplikasi mengirim traffic satu sama lain, Google Cloud akan mengumpulkan dua versi paket yang sama. Anda dapat mengubah perilaku ini dengan menentukan bahwa hanya paket masuk atau keluar yang akan diduplikasi.

  • Ada jumlah maksimum kebijakan duplikasi paket yang dapat Anda buat untuk suatu project. Untuk mengetahui informasi lebih lanjut, lihat kuota per project di halaman quotas.

  • Untuk setiap kebijakan duplikasi paket, jumlah maksimum sumber yang diduplikasi yang dapat Anda tentukan bergantung pada jenis sumber:

    • 5 subnet
    • 5 tag
    • 50 instance
  • Jumlah maksimum filter pencerminan paket adalah 30, yang merupakan jumlah rentang alamat IPv4 dan IPv6 dikalikan dengan jumlah protokol. Misalnya, Anda dapat menentukan 30 rentang dan 1 protokol, yang akan berarti 30 filter. Namun, Anda tidak dapat menentukan 30 rentang dan 2 protokol, yang berarti 60 filter dan lebih besar dari batas maksimum.

  • Anda dikenakan biaya untuk jumlah data yang diproses oleh Duplikasi Paket. Untuk mengetahui detailnya, lihat harga Duplikasi Paket.

    Anda juga dikenai biaya untuk semua komponen prasyarat dan traffic keluar yang terkait dengan Duplikasi Paket. Misalnya, instance yang mengumpulkan traffic akan dikenakan biaya dengan tarif reguler. Selain itu, jika traffic duplikasi paket berpindah antarzona, Anda akan dikenai biaya untuk traffic keluar. Untuk mengetahui detail harga, lihat halaman harga terkait.

  • Traffic yang diduplikasi hanya dienkripsi jika VM mengenkripsi traffic tersebut di lapisan aplikasi. Meskipun koneksi VM-ke-VM dalam jaringan VPC dan jaringan VPC yang di-peering dienkripsi, enkripsi dan dekripsi terjadi di hypervisor. Dari perspektif VM, traffic ini tidak dienkripsi.

Kasus penggunaan

Bagian berikut menjelaskan skenario dunia nyata yang menunjukkan alasan Anda menggunakan Duplikasi Paket.

Keamanan perusahaan

Tim engineer keamanan dan jaringan harus memastikan bahwa mereka menangkap semua anomali dan ancaman yang mungkin menunjukkan pelanggaran dan intrusi keamanan. Fitur ini menduplikasi semua traffic sehingga dapat menyelesaikan pemeriksaan komprehensif dari aliran yang mencurigakan. Karena serangan dapat menjangkau beberapa paket, tim keamanan harus bisa mendapatkan semua paket untuk setiap aliran.

Misalnya, alat keamanan berikut mengharuskan Anda untuk menangkap beberapa paket:

  • Alat Intrusion Detection System (IDS) memerlukan beberapa paket dari satu aliran untuk mencocokkan tanda tangan sehingga alat tersebut dapat mendeteksi ancaman persisten.

  • Mesin Deep Packet Inspection memeriksa payload paket untuk mendeteksi anomali protokol.

  • Forensik jaringan untuk kepatuhan PCI dan kasus penggunaan peraturan lainnya mengharuskan sebagian besar paket diperiksa. Duplikasi Paket memberikan solusi untuk menangkap vektor serangan yang berbeda, seperti komunikasi yang jarang atau komunikasi yang dicoba tetapi tidak berhasil.

Pemantauan performa aplikasi

Engineer jaringan dapat menggunakan traffic yang diduplikasi untuk memecahkan masalah performa yang dilaporkan oleh tim aplikasi dan database. Untuk memeriksa masalah jaringan, engineer jaringan dapat melihat apa yang terjadi melalui kabel, bukan mengandalkan log aplikasi.

Misalnya, engineer jaringan dapat menggunakan data dari Duplikasi Paket untuk menyelesaikan tugas-tugas berikut:

  • Menganalisis protokol dan perilaku agar dapat menemukan dan memperbaiki masalah, seperti paket hilang atau reset TCP.

  • Menganalisis (secara real time) pola traffic dari desktop jarak jauh, VoIP, dan aplikasi interaktif lainnya. Engineer jaringan dapat menelusuri masalah yang memengaruhi pengalaman pengguna aplikasi, seperti beberapa pengiriman ulang paket atau penyambungan ulang yang lebih dari yang diharapkan.

Contoh topologi tujuan kolektor

Anda dapat menggunakan Duplikasi Paket dalam berbagai penyiapan. Contoh berikut menunjukkan lokasi tujuan kolektor dan kebijakannya untuk berbagai konfigurasi duplikasi paket, seperti Peering Jaringan VPC dan VPC Bersama.

Tujuan kolektor di jaringan yang sama

Contoh berikut menunjukkan konfigurasi duplikasi paket dengan tujuan kolektor dan sumber yang diduplikasi berada di jaringan VPC yang sama.

Pada diagram sebelumnya, kebijakan duplikasi paket dikonfigurasi untuk menduplikasi mirrored-subnet dan mengirim traffic yang diduplikasi ke Load Balancer Jaringan passthrough internal. Google Cloud menduplikasi traffic pada instance yang ada dan yang akan datang di subnet. Semua traffic ke dan dari internet, host lokal, atau layanan Google diduplikasi.

Tujuan kolektor di jaringan peer

Anda dapat membuat model kolektor terpusat, dengan instance di berbagai jaringan VPC yang mengirim traffic yang diduplikasi ke tujuan kolektor di jaringan VPC pusat. Dengan begitu, Anda dapat menggunakan kolektor tujuan tunggal.

Pada contoh berikut, Load Balancer Jaringan passthrough internal collector-load-balancer berada di region us-central1 pada jaringan VPC network-a di project-a. Kolektor tujuan ini dapat digunakan oleh dua kebijakan duplikasi paket:

  • policy-1 mengumpulkan paket dari sumber yang diduplikasi di region us-central1 dalam jaringan VPC network-a di project-a dan mengirimkannya ke tujuan collector-load-balancer.

  • policy-2 mengumpulkan paket dari sumber yang diduplikasi di region us-central1 dalam jaringan VPC network-b di project-b dan mengirimkannya ke tujuan collector-load-balancer yang sama.

Diperlukan dua kebijakan duplikasi karena sumber yang diduplikasi ada di jaringan VPC yang berbeda.

Pada diagram sebelumnya, tujuan kolektor mengumpulkan traffic yang diduplikasi dari subnet di dua jaringan yang berbeda. Semua resource (sumber dan tujuan) harus berada di region yang sama. Penyiapan di network-a mirip dengan contoh di mana tujuan kolektor dan sumber yang diduplikasi berada di jaringan VPC yang sama. policy-1 dikonfigurasi untuk mengumpulkan traffic dari subnet-a dan mengirimkannya ke collector-ilb.

policy-2 dikonfigurasi di project-a, tetapi menentukan subnet-b sebagai sumber yang diduplikasi. Karena network-a dan network-b di-peering, kolektor tujuan dapat mengumpulkan traffic dari subnet-b.

Jaringan berada dalam project yang berbeda dan mungkin memiliki pemilik yang berbeda. Pemilik dapat membuat kebijakan duplikasi paket jika mereka memiliki izin yang tepat:

  • Jika pemilik project-a membuat kebijakan duplikasi paket, mereka harus memiliki peran compute.packetMirroringAdmin pada jaringan, subnet, atau instance untuk diduplikasi di project-b.

  • Jika pemilik project-b membuat kebijakan duplikasi paket, mereka harus memiliki peran compute.packetMirroringUser di project-a.

Untuk mengetahui informasi selengkapnya tentang cara mengaktifkan konektivitas pribadi di dua jaringan VPC, lihat Peering Jaringan VPC.

VPC Bersama

Dalam skenario VPC Bersama berikut, instance yang diduplikasi untuk tujuan kolektor semuanya berada dalam jaringan VPC Bersama yang sama. Meskipun semua resource berada di jaringan yang sama, resource tersebut dapat berada di project yang berbeda, seperti project host atau beberapa project layanan yang berbeda. Contoh berikut menunjukkan tempat kebijakan duplikasi paket harus dibuat dan siapa yang dapat membuatnya.

Jika sumber yang diduplikasi dan tujuan kolektor berada dalam project yang sama, baik dalam project host maupun project layanan, penyiapannya mirip dengan menyiapkan semuanya dalam jaringan VPC yang sama. Pemilik project dapat membuat semua resource dan menetapkan izin yang diperlukan dalam project tersebut.

Untuk mengetahui informasi selengkapnya, lihat VPC Bersama.

Tujuan kolektor dalam project layanan

Pada contoh berikut, tujuan kolektor berada dalam project layanan yang menggunakan subnet di project host. Dalam hal ini, kebijakan juga ada dalam project layanan. Kebijakan ini juga dapat berada di project host.

Pada diagram sebelumnya, project layanan berisi instance kolektor yang menggunakan subnet kolektor di jaringan VPC Bersama. Kebijakan duplikasi paket dibuat di project layanan dan dikonfigurasi untuk menduplikasi instance yang memiliki antarmuka jaringan di subnet-mirrored.

Pengguna project host atau layanan dapat membuat kebijakan pencerminan paket. Untuk melakukannya, pengguna harus memiliki peran compute.packetMirroringUser dalam project layanan tempat tujuan kolektor berada. Pengguna juga harus memiliki peran compute.packetMirroringAdmin di sumber yang diduplikasi.

Tujuan kolektor di project host

Pada contoh berikut, tujuan kolektor berada dalam project host dan instance yang diduplikasi berada dalam project layanan.

Contoh ini mungkin berlaku untuk skenario saat developer men-deploy aplikasi dalam project layanan dan menggunakan jaringan VPC Bersama. Mereka tidak perlu mengelola infrastruktur jaringan atau Duplikasi Paket. Sebaliknya, tim keamanan atau jaringan terpusat, yang memiliki kontrol atas project host dan jaringan VPC Bersama, bertanggung jawab untuk menyediakan kebijakan duplikasi paket.

Pada diagram sebelumnya, kebijakan duplikasi paket dibuat di project host, tempat tujuan kolektor berada. Kebijakan ini dikonfigurasi untuk menduplikasi instance di subnet yang diduplikasi. Instance VM dalam project layanan dapat menggunakan subnet yang diduplikasi, dan traffic-nya akan diduplikasi.

Pengguna project host atau layanan dapat membuat kebijakan pencerminan paket. Untuk melakukannya, pengguna dalam project layanan harus memiliki peran compute.packetMirroringUser dalam project host. Pengguna dalam project host memerlukan peran compute.packetMirroringAdmin untuk sumber yang diduplikasi dalam project layanan.

Instance VM multi-antarmuka

Anda dapat menyertakan instance VM yang memiliki beberapa antarmuka jaringan dalam kebijakan duplikasi paket. Karena kebijakan dapat menduplikasi resource dari satu jaringan, Anda tidak dapat membuat satu kebijakan untuk menduplikasi traffic untuk semua antarmuka jaringan sebuah instance. Jika perlu menduplikasi lebih dari satu antarmuka jaringan dari instance beberapa antarmuka jaringan, Anda harus membuat satu kebijakan duplikasi paket untuk setiap antarmuka karena setiap antarmuka terhubung ke jaringan VPC yang unik.

Langkah selanjutnya