VPC-Flusslogs verwenden

In VPC-Flusslogs wird eine Stichprobe von Netzwerkflüssen erfasst, die von VM-Instanzen gesendet und empfangen werden, darunter Instanzen, die als GKE-Knoten verwendet werden. Diese Logs können für Netzwerk-Monitoring, Forensik, Echtzeit-Sicherheitsanalysen und Kostenoptimierung verwendet werden.

Auf dieser Seite wird davon ausgegangen, dass Sie mit den Konzepten vertraut sind, die unter VPC-Flusslogs – Übersicht beschrieben werden.

VPC-Flusslogs aktivieren

Wenn Sie VPC-Fluss-Logs aktivieren, aktivieren Sie diese für alle VMs in einem Subnetz. Sie können jedoch die Menge der in Logging geschriebenen Informationen reduzieren. Ausführliche Informationen zu den Parametern, die Sie festlegen können, finden Sie unter Logprobenahme und Logaggregation.

VPC-Flusslogs und GKE-Annotationen

Die Anzeige von Google Kubernetes Engine-Anmerkungen in VPC-Flusslogs wird ab GKE-Version 1.12.7 unterstützt. Die verwendete GKE-Version bestimmt, ob Sie Cloud Operations for GKE aktivieren müssen.

  • GKE-Clusterversion 1.15 oder höher: Cloud Operations for GKE ist zum Anzeigen von GKE-Annotationen nicht erforderlich.

  • GKE-Clusterversion 1.14: Cloud Operations for GKE ist zum Aufrufen von GKE-Annotationen erforderlich, aber standardmäßig aktiviert. Es sind keine weiteren Maßnahmen erforderlich.

  • GKE-Clusterversion vor 1.14: Cloud Operations for GKE ist erforderlich, um GKE-Annotationen aufzurufen. Wenn Sie die Cloud Operations for GKE-Unterstützung im GKE-Cluster aktivieren, wird gewährleistet, dass Aktualisierungen von GKE-Metadaten an Logging gesendet werden.

    Die Unterstützung von Cloud Operations for GKE kann beim Erstellen neuer Cluster oder beim Ändern vorhandener Cluster konfiguriert werden. Weitere Informationen finden Sie unter Cloud Operations for GKE konfigurieren.

VPC-Flusslogs beim Erstellen eines Subnetzes aktivieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur Seite "VPC-Netzwerke"
  2. Klicken Sie auf das Netzwerk, dem Sie ein Subnetz hinzufügen möchten.
  3. Klicken Sie auf Subnetz hinzufügen.
  4. Wählen Sie unter Flusslogs die Option An aus.
  5. Wenn Sie die Logprobenahme und Logaggregation anpassen möchten, klicken Sie auf Logs konfigurieren und ändern Sie die folgenden Einstellungen wie gewünscht:
    • das Aggregationsintervall
    • Ob Sie in den endgültigen Logeinträgen Metadaten einschließen möchten
      Standardmäßig umfasst die Option Metadaten einschließen alle Felder. Zum Anpassen von Metadatenfeldern müssen Sie die gcloud-Befehlszeile oder die API verwenden.
    • Abtastrate (100% bedeutet, dass alle Einträge erhalten bleiben)
  6. Füllen Sie die anderen Felder je nach Bedarf aus.
  7. Klicken Sie auf Hinzufügen.

gcloud

gcloud compute networks subnets create SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL \
    [--logging-flow-sampling=SAMPLE_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

Dabei gilt:

  • AGGREGATION_INTERVAL: das Aggregationsintervall für Flusslogs in diesem Subnetz. Das Intervall kann 5 Sekunden (Standard), 30 Sekunden, 1 Minute, 5 Minuten, 10 Minuten oder 15 Minuten betragen.
  • SAMPLE_RATE: die Flussabtastrate. Das Fluss-Sampling kann auf einen Wert zwischen 0.0 (kein Sampling) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist 0.5.
  • FILTER_EXPRESSION: ein Ausdruck, der festlegt, welche Logs Sie behalten möchten. Weitere Informationen finden Sie unter Logfilterung.
  • LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:

    • include-all zum Einschließen aller Metadatenannotationen
    • exclude-all zum Ausschließen aller Metadatenannotationen (Standard)
    • custom zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.
  • METADATA_FIELDS: eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Logs aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn LOGGING_METADATA auf custom gesetzt ist.

API

Aktivieren Sie VPC-Flusslogs, wenn Sie ein neues Subnetz erstellen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

Ersetzen Sie die Platzhalter durch gültige Werte:

  • PROJECT_ID ist die ID des Projekts, in dem das Subnetz erstellt wird.
  • REGION ist die Region, in der das Subnetz erstellt wird.
  • AGGREGATION_INTERVAL legt das Aggregationsintervall für Flusslogs im Subnetz fest. Das Intervall kann auf einen der folgenden Werte festgelegt werden: INTERVAL_5_SEC, INTERVAL_30_SEC, INTERVAL_1_MIN, INTERVAL_5_MIN, INTERVAL_10_MIN oder INTERVAL_15_MIN.
  • SAMPLING_RATE ist die Flussabtastrate. Die Flussprobenahme kann auf einen Wert zwischen 0.0 (keine Probenahme) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist .0.5.
  • EXPRESSION ist der Filterausdruck, mit dem Sie filtern, welche Logs tatsächlich geschrieben werden. Weitere Informationen finden Sie unter Logfilterung.
  • METADATA_SETTING gibt an, ob das Log alle Metadaten (INCLUDE_ALL_METADATA), keine Metadaten (EXCLUDE_ALL_METADATA) oder nur bestimmte Metadaten (CUSTOM_METADATA) enthalten soll. Wenn dieses Feld auf CUSTOM_METADATA gesetzt ist, füllen Sie auch das Feld metadataFields aus. Der Standardwert ist EXCLUDE_ALL_METADATA. Weitere Informationen finden Sie unter Metadatenannotationen.

  • METADATA_FIELDS sind die Metadatenfelder, die Sie erfassen möchten, wenn Sie metadata: CUSTOM_METADATA festgelegt haben. Dies ist eine durch Kommas getrennte Liste von Metadatenfeldern, z. B. src_instance, src_vpc.project_id.

  • IP_RANGE ist der primäre interne IP-Adressbereich des Subnetzes.

  • NETWORK_URL ist die URL des VPC-Netzwerks, in dem das Subnetz erstellt wird.

  • SUBNET_NAME ist der Name für das Subnetz.

Weitere Informationen finden Sie in der Methode subnetworks.insert.

Terraform

Sie können ein Terraform-Modul verwenden, um benutzerdefinierte VPC-Netzwerke und Subnetze zu erstellen.

Im folgenden Beispiel werden drei Subnetze so erstellt:

  • subnet-01 hat VPC-Flusslogs deaktiviert. Wenn Sie ein Subnetz erstellen, werden VPC-Flusslogs deaktiviert, sofern Sie sie nicht explizit aktivieren.
  • Für subnet-02 sind VPC-Flusslogs mit den Standard-Einstellungen aktiviert.
  • subnet-03 hat VPC-Flusslogs mit einigen benutzerdefinierten Einstellungen aktiviert.
module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 3.2.0"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
    }
  ]
}

VPC-Flusslogs für ein Subnetz aktivieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur Seite "VPC-Netzwerke"
  2. Klicken Sie auf das Subnetz, das Sie aktualisieren möchten.
  3. Klicken Sie auf Bearbeiten.
  4. Wählen Sie unter Flusslogs die Option An aus.
  5. Wenn Sie die Logprobenahme und Logaggregation anpassen möchten, klicken Sie auf Logs konfigurieren und ändern Sie die folgenden Einstellungen wie gewünscht:
    • das Aggregationsintervall
    • Ob Sie in den endgültigen Logeinträgen Metadaten einschließen möchten
      Standardmäßig umfasst die Option Metadaten einschließen alle Felder. Zum Anpassen von Metadatenfeldern müssen Sie die gcloud-Befehlszeile oder die API verwenden.
    • Abtastrate (100% bedeutet, dass alle Einträge erhalten bleiben)
  6. Klicken Sie auf Speichern.

gcloud

gcloud compute networks subnets update SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL \
    [--logging-flow-sampling=SAMPLE_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

Dabei gilt:

  • AGGREGATION_INTERVAL: das Aggregationsintervall für Flusslogs in diesem Subnetz. Das Intervall kann 5 Sekunden (Standard), 30 Sekunden, 1 Minute, 5 Minuten, 10 Minuten oder 15 Minuten betragen.
  • SAMPLE_RATE: die Flussabtastrate. Das Fluss-Sampling kann auf einen Wert zwischen 0.0 (kein Sampling) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist 0.5.
  • FILTER_EXPRESSION: ein Ausdruck, der festlegt, welche Logs Sie behalten möchten. Weitere Informationen finden Sie unter Logfilterung.
  • LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:

    • include-all zum Einschließen aller Metadatenannotationen
    • exclude-all zum Ausschließen aller Metadatenannotationen (Standard)
    • custom zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.
  • METADATA_FIELDS: eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Logs aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn LOGGING_METADATA auf custom gesetzt ist.

API

Aktivieren Sie VPC-Flusslogs für ein vorhandenes Subnetz.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ersetzen Sie die Platzhalter durch gültige Werte:

  • PROJECT_ID ist die ID des Projekts, in dem sich das Subnetz befindet.
  • REGION ist die Region, in der sich das Subnetz befindet.
  • SUBNET_NAME ist der Name des vorhandenen Subnetzes.
  • SUBNET_FINGERPRINT ist die Fingerabdruck-ID für das bestehende Subnetz, die Sie beim Beschreiben des Subnetzes erhalten.
  • Informationen zu den anderen Logging-Feldern finden Sie unter VPC-Flusslogs beim Erstellen eines Subnetzes aktivieren.

Weitere Informationen finden Sie in der Methode subnetworks.patch.

Geschätztes Logvolumen für vorhandene Subnetze ansehen

Die Google Cloud Console bietet eine Schätzung des Logvolumens für vorhandene Subnetze. Diese können Sie nutzen, wenn Sie die ungefähren Kosten für das Aktivieren der Flusslogs ermitteln möchten. Die Schätzung basiert auf Flüssen, die über die letzten 7 Tage in 5-Sekunden-Intervallen für das Subnetz erfasst wurden. Die Größe jedes Logs hängt auch davon ab, ob Sie Metadatenanmerkungen aktivieren.

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur Seite "VPC-Netzwerke"
  2. Klicken Sie auf das Subnetz, für das Sie die Kosten schätzen möchten.
  3. Klicken Sie auf Bearbeiten.
  4. Wählen Sie unter Flusslogs die Option An aus.
  5. Klicken Sie auf Logs konfigurieren.
  6. Unter Geschätzte Logs pro Tag sehen Sie die Schätzung.
  7. Klicken Sie auf Abbrechen, damit keine Änderungen gespeichert werden.

Ansehen, für welche Subnetze VPC-Flusslogs aktiviert sind

Sie können prüfen, für welche Subnetze in einem Netzwerk VPC-Flusslogs aktiviert sind.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur VPC-Netzwerkseite
  2. In der Spalte Flusslogs sehen Sie, ob das Logging aktiviert oder deaktiviert ist.

gcloud

gcloud compute networks subnets list \
    --project PROJECT_ID \
    --network="NETWORK" \
    --format="csv(name,region,logConfig.enable)"

Dabei gilt:

  • PROJECT_ID: die ID des von Ihnen abgefragten Projekts.
  • NETWORK: der Name des Netzwerks mit den Subnetzen

Parameter für VPC-Flusslogs aktualisieren

Sie können die Log-Sampling-Parameter anpassen. Ausführliche Informationen zu den Parametern, die Sie festlegen können, finden Sie unter Logprobenahme und Logaggregation.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur Seite "VPC-Netzwerke"
  2. Klicken Sie auf das Subnetz, das Sie aktualisieren möchten.
  3. Klicken Sie auf Bearbeiten.
  4. Klicken Sie auf Logs konfigurieren, um die Logprobenahme und Logaggregation anzupassen:
    • das Aggregationsintervall
    • Ob Sie in den endgültigen Logeinträgen Metadaten einschließen möchten
      Standardmäßig umfasst die Option Metadaten einschließen alle Felder. Zum Anpassen von Metadatenfeldern müssen Sie die gcloud-Befehlszeile oder die API verwenden.
    • Abtastrate (100% bedeutet, dass alle Einträge erhalten bleiben)
  5. Klicken Sie auf Speichern.

gcloud

gcloud compute networks subnets update SUBNET_NAME \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL \
    [--logging-flow-sampling=SAMPLE_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA \
    [--logging-metadata-fields=METADATA_FIELDS] \

Dabei gilt:

  • AGGREGATION_INTERVAL: das Aggregationsintervall für Flusslogs in diesem Subnetz. Das Intervall kann 5 Sekunden (Standard), 30 Sekunden, 1 Minute, 5 Minuten, 10 Minuten oder 15 Minuten betragen.
  • SAMPLE_RATE: die Flussabtastrate. Das Fluss-Sampling kann auf einen Wert zwischen 0.0 (kein Sampling) und 1.0 (alle Logs) festgelegt werden. Der Standardwert ist 0.5.
  • FILTER_EXPRESSION: ein Ausdruck, der festlegt, welche Logs Sie behalten möchten. Weitere Informationen finden Sie unter Logfilterung.
  • LOGGING_METADATA: Die Metadatenannotationen, die in den Logs enthalten sein sollen:

    • include-all zum Einschließen aller Metadatenannotationen
    • exclude-all zum Ausschließen aller Metadatenannotationen (Standard)
    • custom zum Hinzufügen einer benutzerdefinierten Liste von Metadatenfeldern, die Sie in METADATA_FIELDS angeben.
  • METADATA_FIELDS: eine durch Kommas getrennte Liste von Metadatenfeldern, die Sie in die Logs aufnehmen möchten. Beispiel: src_instance,dst_instance Kann nur festgelegt werden, wenn LOGGING_METADATA auf custom gesetzt ist.

API

Ändern Sie die Log-Sampling-Felder, um das Verhalten der VPC-Flusslogs zu aktualisieren.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ersetzen Sie die Platzhalter durch gültige Werte:

  • PROJECT_ID ist die ID des Projekts, in dem sich das Subnetz befindet.
  • REGION ist die Region, in der sich das Subnetz befindet.
  • SUBNET_NAME ist der Name des vorhandenen Subnetzes.
  • SUBNET_FINGERPRINT ist die Fingerabdruck-ID für das bestehende Subnetz, die Sie beim Beschreiben des Subnetzes erhalten.
  • Informationen zu den Feldern, die Sie ändern können, finden Sie unter VPC-Flusslogs beim Erstellen eines Subnetzes aktivieren.

Weitere Informationen finden Sie in der Methode subnetworks.patch.

VPC-Flusslogs für ein Subnetz deaktivieren

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerke“ auf.
    Zur Seite "VPC-Netzwerke"
  2. Klicken Sie auf das Subnetz, das Sie aktualisieren möchten.
  3. Klicken Sie auf Bearbeiten.
  4. Wählen Sie unter Flusslogs die Option Aus.
  5. Klicken Sie auf Speichern.

gcloud

gcloud compute networks subnets update SUBNET_NAME \
    --no-enable-flow-logs

API

Deaktivieren Sie VPC-Flusslogs für ein Subnetz, um die Erfassung von Logeinträgen zu beenden.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Ersetzen Sie die Platzhalter durch gültige Werte:

  • PROJECT_ID ist die ID des Projekts, in dem sich das Subnetz befindet.
  • REGION ist die Region, in der sich das Subnetz befindet.
  • SUBNET_NAME ist der Name des vorhandenen Subnetzes.
  • SUBNET_FINGERPRINT ist die Fingerabdruck-ID für das bestehende Subnetz, die Sie beim Beschreiben des Subnetzes erhalten.

Weitere Informationen finden Sie in der Methode subnetworks.patch.

Logs mit Logging aufrufen

IAM konfigurieren

Gehen Sie nach der Anleitung zur Zugriffssteuerung für Logging vor.

Zeigen Sie Logs mithilfe der Seite "Logs ansehen" an.

Sie benötigen die Projekt-ID Ihres Projekts für diese Befehle.

Auf alle Flusslogs zugreifen

  1. Rufen Sie in der Google Cloud Console die Seite "Logs" auf.
    Zur Seite "Logs"
  2. Wählen Sie im ersten Drop-down-Menü die Option Subnetzwerk aus.
  3. Wählen Sie im zweiten Drop-down-Menü die Option compute.googleapis.com/vpc_flows aus.
  4. Klicken Sie auf OK.

Alternativ:

  1. Rufen Sie in der Google Cloud Console die Seite „Logs“ auf.
    Zur Seite "Logs"
  2. Klicken Sie auf den Drop-down-Pfeil rechts neben dem Feld Nach Label oder Textsuche filtern und wählen Sie In erweiterten Filter umwandeln aus.
  3. Fügen Sie Folgendes in das Feld ein. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID.
    resource.type="gce_subnetwork"
    logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
    
  4. Klicken Sie auf Filter senden.

Logs für ein bestimmtes Subnetz aufrufen

  1. Rufen Sie in der Google Cloud Console die Seite "Logs" auf.
    Zur Seite "Logs"
  2. Bewegen Sie den Cursor im ersten Drop-down-Menü auf Subnetzwerk und bewegen Sie ihn dann nach rechts, um das Auswahlmenü für die einzelnen Subnetze zu öffnen.
  3. Wählen Sie im zweiten Drop-down-Menü compute.googleapis.com/vpc_flows aus.
  4. Klicken Sie auf OK.

Alternativ:

  1. Rufen Sie in der Google Cloud Console die Seite „Logs“ auf.
    Zur Seite "Logs"
  2. Klicken Sie auf den Drop-down-Pfeil rechts neben dem Feld Nach Label oder Textsuche filtern und wählen Sie In erweiterten Filter umwandeln aus.
  3. Fügen Sie Folgendes in das Feld ein. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID und SUBNET_NAME durch Ihr Subnetzwerk.
    resource.type="gce_subnetwork"
    logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
    resource.labels.subnetwork_name="SUBNET_NAME"
    
  4. Klicken Sie auf Submit filter (Filter senden).

Auf Logs für eine bestimmte VM zugreifen

  1. Rufen Sie in der Google Cloud Console die Seite "Logs" auf.
    Zur Seite "Logs"
  2. Klicken Sie auf den Drop-down-Pfeil rechts neben dem Feld Nach Label oder Textsuche filtern und wählen Sie In erweiterten Filter umwandeln aus.
  3. Fügen Sie Folgendes in das Feld ein. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID und VM_NAME durch Ihre VM.
    resource.type="gce_subnetwork"
    logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
    jsonPayload.src_instance.vm_name="VM_NAME"
    
  4. Klicken Sie auf Filter senden.

Auf Logs für Traffic zu einem bestimmten Subnetzbereich zugreifen

  1. Rufen Sie in der Google Cloud Console die Seite "Logs" auf.
    Zur Seite "Logs"
  2. Klicken Sie auf den Drop-down-Pfeil rechts neben dem Feld Nach Label oder Textsuche filtern und wählen Sie In erweiterten Filter umwandeln aus.
  3. Fügen Sie Folgendes in das Feld ein. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID und SUBNET_RANGE durch einen CIDR-Bereich (192.168.1.0/24).
    resource.type="gce_subnetwork"
    logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
    ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE)
    
  4. Klicken Sie auf Submit filter (Filter senden).

Auf Logs für einen bestimmten GKE-Cluster zugreifen

  1. Rufen Sie in der Google Cloud Console die Seite "Logs" auf.
    Zur Seite "Logs"
  2. Klicken Sie auf den Drop-down-Pfeil rechts neben dem Feld Nach Label oder Textsuche filtern und wählen Sie In erweiterten Filter umwandeln aus.
  3. Fügen Sie Folgendes in das Feld ein. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID und SUBNET_NAME durch Ihr Subnetzwerk.
    resource.type="gce_subnetwork"
    logName="projects/{#project_id}/logs/vpc_flows"
    jsonPayload.src_gke_details.cluster.cluster_name="{#cluster_name}" OR jsonPayload.dest_gke_details.cluster.cluster_name="{#cluster_name}"
    
  4. Klicken Sie auf Submit filter (Filter senden).

Auf Logs für bestimmte Ports und Protokolle zugreifen

Für einen einzelnen Zielport

  1. Rufen Sie in der Google Cloud Console die Seite "Logs" auf.
    Zur Seite "Logs"
  2. Klicken Sie auf den Drop-down-Pfeil rechts neben dem Feld Nach Label oder Textsuche filtern und wählen Sie In erweiterten Filter umwandeln aus.
  3. Fügen Sie Folgendes in das Feld ein. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID, PORT durch den Zielport und PROTOCOL durch das Protokoll.
    resource.type="gce_subnetwork"
    logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
    jsonPayload.connection.dest_port=PORT
    jsonPayload.connection.protocol=PROTOCOL
    
  4. Klicken Sie auf Submit filter (Filter senden).

Für mehrere Zielports

  1. Rufen Sie in der Google Cloud Console die Seite "Logs" auf.
    Zur Seite "Logs"
  2. Klicken Sie auf den Drop-down-Pfeil rechts neben dem Feld Nach Label oder Textsuche filtern und wählen Sie In erweiterten Filter umwandeln aus.
  3. Fügen Sie Folgendes in das Feld ein. Ersetzen Sie PROJECT_ID durch Ihre Projekt-ID, PORT1, PORT2 durch die Zielports und PROTOCOL durch das Protokoll.
    resource.type="gce_subnetwork"
    logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
    jsonPayload.connection.dest_port=(PORT1 OR PORT2)
    jsonPayload.connection.protocol=PROTOCOL
    
  4. Klicken Sie auf Submit filter (Filter senden).

Logs an BigQuery, Pub/Sub und zu benutzerdefinierten Zielen weiterleiten

Sie können Flusslogs von Logging an ein Ziel Ihrer Wahl weiterleiten, wie in der Dokumentation zu Logging beschrieben. Beispiele für Filter finden Sie im vorherigen Abschnitt.

Fehlerbehebung

In Logging werden unter der Ressource gce_subnetwork keine vpc_flows angezeigt

  • Prüfen Sie, ob das Logging für das jeweilige Subnetz aktiviert ist.
  • VPC-Datenflüsse werden nur für VPC-Netzwerke unterstützt. Wenn Sie ein Legacy-Netzwerk haben, werden keine Logs angezeigt.
  • In freigegebenen VPC-Netzwerken werden Logs ausschließlich im Hostprojekt, aber nicht in den Dienstprojekten angezeigt. Achten Sie daher darauf, dass Sie im Hostprojekt nach den Logs suchen.
  • Ausschlussfilter in Logging sperren bestimmte Logs. Achten Sie darauf, dass keine Ausschlussregeln vorhanden sind, die VPC-Flusslogs verwerfen.
    1. Gehen Sie zu Ressourcennutzung.
    2. Klicken Sie auf den Tab Ausnahmen.
    3. Achten Sie darauf, dass keine Ausschlussregeln vorhanden sind, die VPC-Flusslogs verwerfen könnten.

Keine RTT- oder Bytewerte für manche Logs

  • RTT-Messungen können fehlen, wenn nicht genügend Pakete zur Erfassung von RTT abgetastet wurden. Dies tritt eher bei Verbindungen mit geringem Volumen auf.
  • RTT-Werte sind nur für TCP-Flüsse verfügbar.
  • Einige Pakete werden ohne Nutzlast gesendet. Wenn Nur-Header-Pakete abgetastet wurden, ist der Bytewert 0.

Einige Datenflüsse fehlen

  • Es werden nur TCP-, UDP-, ICMP-, ESP- und GRE-Protokolle unterstützt. VPC-Flusslogs unterstützen keine anderen Protokolle.
  • Es werden Logstichproben erstellt. Einige Pakete in Datenflüssen mit sehr geringem Volumen werden unter Umständen nicht erfasst.

Fehlende GKE-Annotationen in einigen Logs

  • Achten Sie darauf, dass Ihr GKE-Cluster Version 1.12.7 oder höher hat.
  • Wenn Ihr GKE-Cluster Version 1.14 oder früher hat, muss Cloud Operations for GKE im Cluster aktiviert sein. In einigen Fällen fehlen möglicherweise Annotationen, wenn Cloud Operations for GKE nicht aktiviert ist. Informationen zum Prüfen, ob Cloud Operations for GKE im Cluster aktiviert ist, finden Sie unter Welche Monitoring- und Logging-Unterstützung verwendet mein Cluster?

  • Wenn Cloud Operations for GKE im Cluster aktiviert ist und weiterhin GKE-Annotationen fehlen, liegt möglicherweise ein Problem mit Kontingenten oder Berechtigungen vor.

    • Prüfen Sie das Stackdriver-Kontingent für Anfragen pro Minute und Nutzer. Wenn das Kontingent überschritten wird, können Sie eine Erhöhung beantragen. Weitere Informationen finden Sie unter Kontingente verwalten.
    • Prüfen Sie, ob das vom Cluster zum Senden von Daten verwendete Dienstkonto die Rolle Autor von Stackdriver-Ressourcenmetadaten (roles/stackdriver.resourceMetadata.writer) hat. Rufen Sie die Seite Stackdriver API-Messwerte auf, um zu ermitteln, welches Dienstkonto der Cluster verwendet. Wählen Sie im Drop-down-Menü Grafiken auswählen die Option Traffic nach Anmeldedaten aus.

Fehlende Logs für einige GKE-Abläufe

Prüfen Sie, ob im Knoten knoteninterne Sichtbarkeit aktiviert ist. Andernfalls wird der Traffic zwischen Pods auf demselben Knoten nicht protokolliert.

Flusslogs sind scheinbar deaktiviert, obwohl sie aktiviert wurden

  • Wenn Sie ein Nur-Proxysubnetz für interne HTTP(S)-Load-Balancer konfigurieren und den Befehl gcloud compute networks subnets verwenden, um VPC-Flusslogs zu aktivieren, scheint der Befehl erfolgreich zu sein, obwohl die Flusslogs eigentlich nicht aktiviert sind. Das Flag --enable-flow-logs wird nicht wirksam, wenn Sie auch das Flag --purpose=INTERNAL_HTTPS_LOAD_BALANCER einfügen.

    Wenn Sie Flusslogs über die Cloud Console oder die API aktivieren, wird folgende Fehlermeldung angezeigt: "Ungültiger Wert für Feld 'resource.enableFlowLogs': 'true' Ungültiges Feld mit dem Zweck INTERNAL_HTTPS_LOAD_BALANCER im Subnetzwerk festgelegt."

    Da Nur-Proxysubnetze keine VMs haben, werden VPC-Flusslogs nicht unterstützt. Das ist so gewollt.

Nächste Schritte