Usa registros de flujo de VPC

Los registros de flujo de VPC registran una muestra de flujos de red que enviaron y recibieron las instancias de VM, incluidas las instancias que se usaron como nodos de GKE. Estos registros se pueden usar para supervisar redes, detectar intrusiones, realizar análisis de seguridad en tiempo real y optimizar gastos.

En esta página, se da por sentado que estás familiarizado con los conceptos descritos en la descripción general de los registros de flujo de VPC.

Habilita los registros de flujo de VPC

Cuando habilitas los registros de flujo de VPC, se habilitan en todas las VM de una subred. Sin embargo, puedes reducir la cantidad de información que se escribe en el registro. Consulta Agregación y muestreo de registros para obtener detalles sobre los parámetros que puedes controlar.

Registros de flujo de VPC y anotaciones de GKE

La visualización de las anotaciones de Google Kubernetes Engine en los registros de flujo de VPC es compatible con la versión 1.12.7 de GKE. La versión de GKE que usas determina si necesitas habilitar Cloud Operations para GKE.

• Versión de clúster de GKE 1.15 o posterior: No se requiere Cloud Operations para GKE a fin de ver anotaciones de GKE.

• Versión 1.14 del clúster de GKE: Se requiere Cloud Operations para GKE a fin de ver las anotaciones de GKE, pero están habilitado de forma predeterminada. No es necesario que realices ninguna otra acción.

• Versión de clúster de GKE anterior a la 1.14: Se requiere Cloud Operations para GKE a fin de ver las anotaciones de GKE. Habilitar la compatibilidad de Cloud Operations para GKE en el clúster de GKE garantiza que las actualizaciones de metadatos de GKE se envíen a Logging.

  La compatibilidad de Cloud Operations para GKE se puede configurar cuando creas clústeres nuevos o cuando modificas clústeres existentes. A fin de obtener más información, consulta Configura Cloud Operations para GKE.

Habilita los registros de flujo de VPC cuando creas una subred

gcloud compute networks subnets create SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL \
    [--logging-flow-sampling=SAMPLE_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks
{
  "logConfig": {
    "aggregationInterval": "AGGREGATION_INTERVAL",
    "flowSampling": SAMPLING_RATE,
    "filterExpr": EXPRESSION,
    "metadata": METADATA_SETTING,
    "metadataFields": METADATA_FIELDS,
    "enable": true
  },
  "ipCidrRange": "IP_RANGE",
  "network": "NETWORK_URL",
  "name": "SUBNET_NAME"
}

module "test-vpc-module" {
  source       = "terraform-google-modules/network/google"
  version      = "~> 4.0.1"
  project_id   = var.project_id # Replace this with your project ID in quotes
  network_name = "my-custom-mode-network"
  mtu          = 1460

  subnets = [
    {
      subnet_name   = "subnet-01"
      subnet_ip     = "10.10.10.0/24"
      subnet_region = "us-west1"
    },
    {
      subnet_name           = "subnet-02"
      subnet_ip             = "10.10.20.0/24"
      subnet_region         = "us-west1"
      subnet_private_access = "true"
      subnet_flow_logs      = "true"
    },
    {
      subnet_name               = "subnet-03"
      subnet_ip                 = "10.10.30.0/24"
      subnet_region             = "us-west1"
      subnet_flow_logs          = "true"
      subnet_flow_logs_interval = "INTERVAL_10_MIN"
      subnet_flow_logs_sampling = 0.7
      subnet_flow_logs_metadata = "INCLUDE_ALL_METADATA"
      subnet_flow_logs_filter   = "false"
    }
  ]
}

Habilita los registros de flujo de VPC en una subred existente

gcloud compute networks subnets update SUBNET_NAME \
    --enable-flow-logs \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL \
    [--logging-flow-sampling=SAMPLE_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA \
    [--logging-metadata-fields=METADATA_FIELDS] \
    [other flags as needed]

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": true
    ...other logging fields.
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Consulta el volumen de registro estimado para las subredes existentes

Google Cloud Console proporciona una estimación del volumen de registro para las subredes existentes, que luego puedes usar a fin de estimar el costo de habilitar los registros de flujo. La estimación se basa en los flujos capturados en intervalos de 5 segundos para la subred en los últimos 7 días. Además, el tamaño de cada registro depende de si habilitas las anotaciones de metadatos.

1. Ve a la página Redes de VPC en Google Cloud Console.
   Ir a la página Redes de VPC
2. Haz clic en la subred cuyos costos deseas calcular.
3. Haz clic en Editar.
4. En Registros de flujo, selecciona Activado.
5. Haz clic en Configurar registros.
6. Consulta Registros estimados generados por día para ver la estimación.
7. Haz clic en Cancelar para que no se guarde ninguno de tus cambios.

Visualiza qué subredes tienen habilitados los registros de flujo de VPC

Puedes verificar qué subredes en una red tienen habilitados los registros de flujo de VPC.

gcloud compute networks subnets list \
    --project PROJECT_ID \
    --network="NETWORK" \
    --format="csv(name,region,logConfig.enable)"

Actualiza los parámetros de registros de flujo de VPC

Puedes modificar los parámetros de muestreo de registros. Consulta Muestreo y agregación de registros para obtener más información sobre los parámetros que puedes controlar.

gcloud compute networks subnets update SUBNET_NAME \
    [--logging-aggregation-interval=AGGREGATION_INTERVAL \
    [--logging-flow-sampling=SAMPLE_RATE] \
    [--logging-filter-expr=FILTER_EXPRESSION] \
    [--logging-metadata=LOGGING_METADATA \
    [--logging-metadata-fields=METADATA_FIELDS] \

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    ...fields to modify
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Inhabilita los registros de flujo de VPC en una subred

gcloud compute networks subnets update SUBNET_NAME \
    --no-enable-flow-logs

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME
{
  "logConfig": {
    "enable": false
  },
  "fingerprint": "SUBNETWORK_FINGERPRINT"
}

Accede a los registros con Logging

Configura IAM

Sigue la guía de control de acceso para Logging.

Ve los registros desde la página del Explorador de registros.

Necesitarás el ID del proyecto de tu proyecto para estos comandos.

Accede a todos los registros

1. Ve al Explorador de registros en Google Cloud Console.
   Ir al Explorador de registros
2. Selecciona Subred en el primer menú desplegable.
3. Selecciona compute.googleapis.com/vpc_flows en el segundo menú desplegable.
4. Haz clic en Aceptar.

O, como alternativa:

1. Ve al Explorador de registros en Google Cloud Console.
   Ir al Explorador de registros
2. En el lado derecho del campo Filtrar por etiqueta o búsqueda de texto, haz clic en la flecha hacia abajo y selecciona Convertir en filtro avanzado.
3. Pega lo siguiente en el campo. Reemplaza PROJECT_ID por el ID del proyecto.

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
   

4. Haz clic en Enviar filtro.

Accede a los registros de una subred específica

1. Ve al Explorador de registros en Google Cloud Console.
   Ir al Explorador de registros
2. En el primer menú desplegable, desplaza el cursor hacia Subred y, luego, muévelo hacia la derecha para abrir el menú de selección de subredes individual.
3. En el segundo menú desplegable, selecciona compute.googleapis.com/vpc_flows.
4. Haz clic en Aceptar.

O, como alternativa:

1. Ve al Explorador de registros en Google Cloud Console.
   Ir al Explorador de registros
2. En el lado derecho del campo Filtrar por etiqueta o búsqueda de texto, haz clic en la flecha hacia abajo y selecciona Convertir en filtro avanzado.
3. Pega lo siguiente en el campo. Reemplaza PROJECT_ID por el ID de tu proyecto y SUBNET_NAME por tu subred.

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
   resource.labels.subnetwork_name="SUBNET_NAME"
   

4. Haz clic en Enviar filtro.

Accede a los registros de una VM específica

1. Ve al Explorador de registros en Google Cloud Console.
   Ir al Explorador de registros
2. En el lado derecho del campo Filtrar por etiqueta o búsqueda de texto, haz clic en la flecha hacia abajo y selecciona Convertir en filtro avanzado.
3. Pega lo siguiente en el campo. Reemplaza PROJECT_ID por el ID de tu proyecto y VM_NAME por tu VM.

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
   jsonPayload.src_instance.vm_name="VM_NAME"
   

4. Haz clic en Enviar filtro.

Accede a los registros de tráfico a un rango de subred específico

1. Ve al Explorador de registros en Google Cloud Console.
   Ir al Explorador de registros
2. En el lado derecho del campo Filtrar por etiqueta o búsqueda de texto, haz clic en la flecha hacia abajo y selecciona Convertir en filtro avanzado.
3. Pega lo siguiente en el campo. Reemplaza PROJECT_ID por el ID del proyecto y SUBNET_RANGE por un rango de CIDR (192.168.1.0/24).

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
   ip_in_net(jsonPayload.connection.dest_ip, SUBNET_RANGE)
   

4. Haz clic en Enviar filtro.

Accede a los registros de un clúster de GKE específico

1. Ve al Explorador de registros en Google Cloud Console.
   Ir al Explorador de registros
2. En el lado derecho del campo Filtrar por etiqueta o búsqueda de texto, haz clic en la flecha hacia abajo y selecciona Convertir en filtro avanzado.
3. Pega lo siguiente en el campo. Reemplaza PROJECT_ID por el ID de tu proyecto y SUBNET_NAME por tu subred.

   resource.type="gce_subnetwork"
   logName="projects/{#project_id}/logs/vpc_flows"
   jsonPayload.src_gke_details.cluster.cluster_name="{#cluster_name}" OR jsonPayload.dest_gke_details.cluster.cluster_name="{#cluster_name}"
   

4. Haz clic en Enviar filtro.

Accede a los registros de puertos y protocolos específicos

En el caso de un puerto de destino individual, haz lo siguiente:

1. Ve al Explorador de registros en Google Cloud Console.
   Ir al Explorador de registros
2. En el lado derecho del campo Filtrar por etiqueta o búsqueda de texto, haz clic en la flecha hacia abajo y selecciona Convertir en filtro avanzado.
3. Pega lo siguiente en el campo. Reemplaza PROJECT_ID por el ID del proyecto, PORT por el puerto de destino y PROTOCOL por el protocolo.

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
   jsonPayload.connection.dest_port=PORT
   jsonPayload.connection.protocol=PROTOCOL
   

4. Haz clic en Enviar filtro.

En el caso de más de un puerto de destino, haz lo siguiente:

1. Ve al Explorador de registros en Google Cloud Console.
   Ir al Explorador de registros
2. En el lado derecho del campo Filtrar por etiqueta o búsqueda de texto, haz clic en la flecha hacia abajo y selecciona Convertir en filtro avanzado.
3. Pega lo siguiente en el campo. Reemplaza PROJECT_ID por el ID del proyecto, PORT1 y PORT2 por los puertos de destino, y PROTOCOL por el protocolo.

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Fvpc_flows"
   jsonPayload.connection.dest_port=(PORT1 OR PORT2)
   jsonPayload.connection.protocol=PROTOCOL
   

4. Haz clic en Enviar filtro.

Enruta registros a BigQuery, Pub/Sub y orientaciones personalizadas

Puedes enrutar los registros de flujo de Logging a un destino de tu elección, como se describe en la documentación de Logging. Consulta la sección anterior para ver ejemplos de filtros.

Soluciona problemas

Ningún vpc_flows aparece en Logging en el recurso gce_subnetwork

• Confirma que el registro esté habilitado para la subred determinada.
• Los flujos de VPC solo se admiten en redes de VPC. Si tienes una red heredada, no verás ningún registro.
• En redes de VPC compartida, los registros solo aparecen en el proyecto host y no en el proyecto de servicio. Asegúrate de buscar los registros en el proyecto host.
• Los filtros de exclusión de registros bloquean los registros especificados. Asegúrate de que ninguna regla de exclusión descarte los registros de flujo de VPC.
  1. Ve a Uso del recurso.
  2. Haz clic en la pestaña Exclusiones.
  3. Asegúrate de que no haya ninguna regla de exclusión que pueda descartar los registros de flujo de VPC.

Los valores de RTT o de bytes no aparecen en algunos registros

• Es posible que falten mediciones de RTT si no se realizó una muestra de una cantidad suficiente de paquetes que capture el RTT. Esto es más frecuente en conexiones con poco volumen.
• Los valores de RTT solo están disponibles para los flujos TCP.
• Algunos paquetes se envían sin carga útil. Si solo se realizaron muestras sobre paquetes de solo encabezado, el valor en bytes será 0.

Faltan algunos flujos

• Solo se admiten los protocolos TCP, UDP, ICMP y GRE. Los registros de flujo de VPC no admiten ningún otro protocolo.
• Los registros se muestrean. Algunos paquetes en flujos de volumen muy bajo pueden pasarse por alto.

Faltan anotaciones de GKE en algunos registros

• Asegúrate de que tu clúster de GKE esté en la versión 1.12.7 o posterior.

• Si tu clúster de GKE está en la versión 1.14 o anterior, asegúrate de que Cloud Operations para GKE esté habilitado en el clúster. En algunos casos, es posible que falten algunas de las anotaciones si Cloud Operations para GKE no está habilitado. A fin de verificar si Cloud Operations para GKE está habilitado en el clúster, consulta ¿Qué tipo de compatibilidad de supervisión y registros usa mi clúster?.

• Si Cloud Operations para GKE está habilitado en el clúster y aún ves anotaciones de GKE faltantes, es posible que haya un problema con las cuotas o los permisos.

  • Consulta la cuota de Stackdriver para solicitudes por minuto por usuario. Si se excede la cuota, puedes solicitar un aumento. Si deseas obtener más información, consulta Administra tu cuota.
  • Verifica que la cuenta de servicio que usa el clúster para enviar datos tenga la función de escritor de metadatos de recursos de Stackdriver (roles/stackdriver.resourceMetadata.writer). Para identificar qué cuenta de servicio usa el clúster, ve a la página de métricas de la API de Stackdriver. En el menú desplegable Seleccionar gráficos, selecciona Tráfico por credencial.

Faltan registros para algunos flujos de GKE

Asegúrate de que la Visibilidad dentro de los nodos esté habilitada en el clúster. De lo contrario, los flujos entre los Pods del mismo nodo no se registran.

Los registros de flujo parecen estar inhabilitados aunque los hayas habilitado

• Cuando configuras una subred de solo proxy para balanceadores de cargas internos de HTTP(S) y usas el comando gcloud compute networks subnets a fin de habilitar los registros de flujo de VPC, parece que el comando se ejecuta con éxito, pero los registros de flujo en realidad no están habilitados. La marca --enable-flow-logs no se aplica cuando también incluyes la marca --purpose=INTERNAL_HTTPS_LOAD_BALANCER.

  Si usas Cloud Console o la API a fin de habilitar los registros de flujo, verás el mensaje de error: “Valor no válido para el campo ‘resource.enableFlowLogs’: ‘true’. Campo no válido configurado en la subred con el propósito INTERNAL_HTTPS_LOAD_BALANCEER”.

  Debido a que las subredes de solo proxy no tienen VM, no admiten los registros de flujo de VPC. Este es el comportamiento esperado.

¿Qué sigue?

• Consulta la documentación de Logging.
• Consulta la documentación sobre los receptores de Logging.