Utilizzo del Mirroring pacchetto

Puoi utilizzare Mirroring pacchetto per eseguire il mirroring del traffico da e verso un determinato di macchine virtuali (VM). Il traffico raccolto può aiutarti a rilevare alla sicurezza e monitorare le prestazioni delle applicazioni. Per maggiori dettagli su Mirroring pacchetto, vedi Mirroring pacchetto.

Il traffico sottoposto a mirroring viene inviato alle VM in cui hai installato il software appropriato. Per un elenco dei fornitori che forniscono software, vedi Fornitori partner di Mirroring pacchetto.

Le sezioni seguenti descrivono come creare e gestire il mirroring pacchetto criteri.

Limitazioni

  • Il mirroring pacchetto non può eseguire il mirroring dei pacchetti per Private Service Connect pubblicato il traffico proveniente dai servizi.

  • Per motivi di sicurezza, il servizio Mirroring pacchetto non esegue il mirroring dei pacchetti che sono inviato all'intervallo di indirizzi IP locali rispetto al collegamento 169.254.0.0/16. Questo intervallo include richieste di metadati da una VM ai relativi metadati server web.

  • Utilizzo di un servizio LoadBalancer Google Kubernetes Engine (GKE) come mirroring pacchetto raccoglitore non supportato.

  • Se alle istanze del raccoglitore potrebbe essere applicato un criterio di mirroring pacchetto, Il mirroring pacchetto li ignora e non esegue il mirroring del traffico.

Prima di iniziare

Prima di creare un criterio di Mirroring pacchetto, è necessario disporre dei necessari autorizzazioni aggiuntive. Devi anche creare un bilanciatore del carico di rete passthrough interno che agisca da raccoglitore destinazione. Questo bilanciatore del carico di rete passthrough interno richiede un gruppo di istanze, che il suo servizio di backend possa usare le VM come destinazioni del raccoglitore.

Autorizzazioni

Per creare e gestire i criteri di mirroring pacchetto, Google Cloud offre due Ruoli correlati al Mirroring pacchetto:

  • compute.packetMirroringUser concede agli utenti l'autorizzazione per creare, aggiornare ed eliminare il mirroring pacchetto criteri. Per utilizzare Mirroring pacchetto, gli utenti devono avere questo ruolo in ai progetti in cui creano criteri di mirroring pacchetto.

  • compute.packetMirroringAdmin concede agli utenti l'autorizzazione per eseguire il mirroring di determinate risorse. Anche se gli utenti hanno per creare un criterio di mirroring pacchetto, richiedono comunque l'autorizzazione per eseguire il mirroring delle origini correlate. Utilizza questo ruolo nei progetti in cui il proprietario il criterio potrebbe non avere altre autorizzazioni, ad esempio in VPC condiviso diversi scenari.

Per ulteriori informazioni sull'utilizzo dei ruoli IAM, consulta Gestire l'accesso a progetti, cartelle e organizzazioni nella documentazione di IAM.

Crea istanze raccoglitore

Mirroring pacchetto richiede un gruppo di istanze di istanze del raccoglitore. Per sui gruppi di istanze, vedi quanto segue documentazione: Creare un nuovo modello di istanza e Crea un gruppo di istanze gestite in una singola zona.

Crea un bilanciatore del carico interno per Mirroring pacchetto

Per abilitare il mirroring pacchetto, devi disporre di un bilanciatore del carico di rete passthrough interno che può fungere da pacchetto raccoglitore di mirroring di Google Cloud. Il bilanciatore del carico di rete passthrough interno deve soddisfare i requisiti i seguenti requisiti:

  • La regola di forwarding del bilanciatore del carico di rete passthrough interno deve avere il mirroring pacchetto quando la regola viene creata. Questo stato non può essere modificato dopo la regola viene creato. Puoi utilizzare questa regola di forwarding per raccogliere sia IPv4 sia IPv6 per via del traffico.
  • Il bilanciatore del carico di rete passthrough interno si trova nella stessa regione delle istanze di cui si mirroring.
  • Il servizio di backend del bilanciatore del carico di rete passthrough interno deve utilizzare un'istanza affinità sessione di NONE (hash a 5 tuple).
  • Il servizio di backend del bilanciatore del carico di rete passthrough interno deve avere sottoinsiemi di backend disattivata.

Se le istanze del raccoglitore non sono configurate per rispondere al controllo di integrità configurato con il servizio di backend, il controllo di integrità potrebbe non riuscire. Pacchetti può comunque essere sottoposto a mirroring in questo caso.

Per ulteriori informazioni su come creare un bilanciatore del carico di rete passthrough interno per Mirroring pacchetto, vedi Creazione di un bilanciatore del carico per il mirroring dei pacchetti.

Configurazione delle regole del firewall

Per preparare la tua rete VPC per il traffico Mirroring pacchetto, procedi nel seguente modo:

  • Assicurati che le istanze del raccoglitore nel gruppo di istanze del bilanciatore del carico possano ricevono il traffico dalle istanze sottoposte a mirroring o dagli indirizzi intervalli di con mirroring di queste istanze. Ad esempio, per consentire alle istanze del raccoglitore di ricevere IPv4 traffico proveniente da qualsiasi VM, crea una regola firewall con un intervallo di indirizzi IPv4 di origine di 0.0.0.0/0. Per consentire alle istanze del raccoglitore di ricevere il traffico IPv6 da qualsiasi VM, crea una regola firewall con un intervallo di indirizzi IPv6 di origine ::/0. Per evitare che il traffico internet raggiunga le istanze del raccoglitore, assegna solo indirizzi IPv4 e IPv6 interni.

  • Assicurati che nessun'altra regola firewall prevalga regola di traffico in uscita implicita in modo che il traffico sottoposto a mirroring può fluire dalle istanze di origine alle istanze di destinazione che fanno parte del bilanciatore del carico di rete passthrough interno.

  • Assicurati che le istanze del raccoglitore possano ricevere traffico da Google Cloud sistemi di controllo dell'integrità. Ad esempio, per il traffico IPv4, crea una regola firewall. che consente il traffico verso le istanze del raccoglitore dall'IPv4 intervalli di indirizzi di 130.211.0.0/22 e 35.191.0.0/16. Per il traffico IPv6, crea una regola firewall che consenta il traffico verso le istanze del raccoglitore Intervallo di indirizzi IPv6 di 2600:2d00:1:b029::/64.

  • Se vuoi testare il mirroring pacchetto inviando manualmente il traffico in uscita proveniente da una o più istanze sottoposte a mirroring, crea una regola firewall consente il traffico SSH a queste istanze. Ad esempio, per consentire le connessioni SSH alle istanze sottoposte a mirroring da tutti gli indirizzi IPv4 e IPv6, consenti il traffico in entrata Traffico TCP sulla porta 22 da qualsiasi indirizzo IPv4 e IPv6 di origine. Se vuoi per consentire solo le connessioni SSH avviate da un determinato IPv4 o IPv6 di indirizzi IPv4, specifica l'intervallo di indirizzi IPv4 o IPv6 come intervallo di origine la regola firewall. Per ulteriori informazioni sul test del bilanciatore del carico di rete passthrough interno, consulta Testa il bilanciamento del carico.

Se non hai regole esistenti che consentono questo traffico, consulta Utilizza le regole firewall VPC per creare che li rappresentano. Per ulteriori informazioni sulla creazione di regole firewall per bilanciatore del carico di rete passthrough interno, Configurare le regole firewall nella documentazione di Cloud Load Balancing.

Crea un criterio di mirroring pacchetto

Per avviare il mirroring del traffico da e verso determinate istanze, crea un pacchetto di Google Cloud. Google Cloud esegue il mirroring di qualsiasi istanza che corrisponde almeno una delle origini specificate.

Console

  1. Nella console Google Cloud, vai alla pagina Mirroring pacchetto.

    Vai a Mirroring pacchetto

  2. Fai clic su Crea criterio.

  3. Inserisci le seguenti informazioni sulla norma e fai clic su Continua.

    1. Inserisci un nome per il criterio.
    2. Seleziona la regione che include le origini con mirroring e il raccoglitore destinazione. Il criterio di mirroring pacchetto deve trovarsi nella stessa regione come origine e destinazione.
    3. Ignora il campo Priority (Priorità). Al momento non può essere modificato.
    4. Seleziona Attivato per attivare il criterio quando lo crei.

  4. Seleziona le reti VPC in cui l'origine sottoposta a mirroring individua la destinazione del raccoglitore e fai clic su Continua.

    L'origine e la destinazione possono essere uguali o diverse reti VPC.

    • Se si trovano nello stesso VPC rete, seleziona Le origini e la destinazione con mirroring si trovano nella stessa Rete VPC, quindi seleziona la rete.
    • Se si trovano in reti diverse, seleziona Origine sottoposta a mirroring e raccoglitore le destinazioni sono in reti VPC in peering separate seleziona la rete di origine sottoposta a mirroring e il raccoglitore rete di destinazione.

  5. Seleziona le origini con mirroring e fai clic su Continua. Puoi selezionare un'opzione o più fonti. Google Cloud esegue il mirroring di qualsiasi istanza che corrisponde almeno una delle origini selezionate.

    • Subnet: seleziona una o più subnet. Mirroring di Google Cloud esistenti e future nelle subnet selezionate.
    • Tag di rete: specifica uno o più tag di rete. Google Cloud esegue il mirroring delle istanze che hanno almeno uno dei i tag specificati.
    • Nome istanza: seleziona le istanze specifiche di cui eseguire il mirroring.

  6. Seleziona un bilanciatore del carico di rete passthrough interno per cui è stato configurato Mirroring pacchetto, quindi fai clic su Continua. Google Cloud invia il traffico sottoposto a mirroring alle istanze che si trovano dietro il bilanciatore del carico di rete passthrough interno.

    Per il VPC condiviso, se la destinazione del raccoglitore è stata sottoposta a mirroring le origini si trovano nella stessa rete VPC condiviso, devi selezionare progetto in cui si trova la destinazione del raccoglitore, quindi selezioni un bilanciatore del carico.

  7. Per selezionare il traffico di cui eseguire il mirroring:

    • Per eseguire il mirroring di tutto il traffico IPv4, seleziona Mirroring di tutto il traffico IPv4 (impostazione predefinita).
    • Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, seleziona Esegui il mirroring del traffico filtrato e poi procedi nel seguente modo:
        .
      • Seleziona Consenti tutti i protocolli.
      • Seleziona Consenti tutti gli intervalli IPv4 (0.0.0.0/0).
      • Seleziona Consenti tutti gli intervalli IPv6 (::/0).
      • Seleziona Consenti il traffico in entrata e in uscita.

    • Per limitare il traffico sottoposto a mirroring, seleziona Esegui il mirroring del traffico filtrato e poi procedi nel seguente modo:

      • Per limitare il traffico sottoposto a mirroring in base al protocollo, seleziona Consenti protocolli specifici, quindi seleziona i protocolli. Se non vedi un protocollo per il quale vuoi eseguire il mirroring del traffico, seleziona Altri protocolli e inserisci il protocollo nella Altri protocolli. I valori validi sono tcp, udp, esp, ah, ipip, sctp o un Numero di protocollo IANA. Per specificare ICMP per IPv6, inserisci 58.

      • Per i filtri per l'intervallo IPv4, procedi nel seguente modo:

        • Per eseguire il mirroring di tutto il traffico IPv4, seleziona Consenti tutti gli intervalli IPv4 (0.0.0.0/0).
        • Per eseguire il mirroring del traffico per intervalli di indirizzi IPv4 specifici, seleziona Consenti intervalli IPv4 specifici. Nel campo Intervalli IPv4, digita un singolo intervallo di indirizzi IPv4 e premi Invio. Puoi aggiungere più intervalli IPv4 premendo Invio dopo a ogni intervallo digitato.

      • Per Filtri intervallo IPv6:

        • Per filtrare tutto il traffico IPv6, seleziona Nessuno.
        • Per eseguire il mirroring di tutto il traffico IPv6, seleziona Consenti tutti gli intervalli IPv6 (::/0).
        • Per eseguire il mirroring del traffico per intervalli di indirizzi IPv6 specifici, seleziona Consenti intervalli IPv6 specifici. Nel campo Intervalli IPv6, digita un singolo intervallo di indirizzi IPv6 e premi Invio. Puoi aggiungere più intervalli IPv6 premendo Invio dopo a ogni intervallo digitato.

  8. Seleziona la direzione del traffico del traffico che vuoi eseguire il mirroring.

  9. Per creare il criterio di mirroring pacchetto, fai clic su Invia.

gcloud

Per creare un criterio di mirroring pacchetto, utilizza Comando packet-mirrorings create.

gcloud compute packet-mirrorings create POLICY_NAME \
    --region=REGION \
    --network=NETWORK_NAME \
    --collector-ilb=FORWARDING_RULE_NAME \
    [--mirrored-subnets=SUBNET,[SUBNET,...]] \
    [--mirrored-tags=TAG,[TAG,...]] \
    [--mirrored-instances=INSTANCE,[INSTANCE,...]] \
    [--filter-cidr-ranges=CIDR_RANGE,[CIDR_RANGE,...]] \
    [--filter-protocols=PROTOCOL,[PROTOCOL,...]] \
    [--filter-direction=DIRECTION]

Sostituisci quanto segue:

  • POLICY_NAME: il nome del criterio di mirroring pacchetto.
  • REGION: la regione in cui le origini con mirroring e del raccoglitore.
  • NETWORK_NAME: la rete in cui vengono utilizzate le origini con mirroring in cui si trovano.
  • FORWARDING_RULE_NAME: il nome della regola di forwarding configurato come raccoglitore di mirroring. Google Cloud invia tutte ha eseguito il mirroring del traffico al bilanciatore del carico di rete passthrough interno associato.
  • SUBNET: il nome di una o più subnet di cui eseguire il mirroring. Puoi fornire più subnet utilizzando un elenco separato da virgole. Google Cloud esegue il mirroring delle istanze esistenti e future nella subnet.
  • TAG: uno o più tag di rete. Google Cloud esegue il mirroring delle istanze che hanno il tag di rete. Puoi fornire più utilizzando un elenco separato da virgole.
  • INSTANCE: l'ID completo di uno o più di Compute Engine. Puoi fornire più istanze utilizzando un'istanza elenco separato da virgole.
  • CIDR_RANGE: uno o più intervalli CIDR IPv4 o IPv6 da speculare. Se non vengono specificati intervalli CIDR, tutto il traffico IPv4 che corrisponde viene eseguito il mirroring dei protocolli specificati. Se né gli intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza 0.0.0.0/0,::/0. Puoi includere intervalli CIDR sia IPv4 che IPv6. Puoi fornire più intervalli utilizzando un elenco separato da virgole.
  • PROTOCOL: uno o più protocolli di cui eseguire il mirroring. I valori validi sono tcp, udp, icmp, esp, ah, ipip, sctp o un numero di protocollo IANA. Se non vengono specificati protocolli, tutto il traffico che corrisponde agli intervalli CIDR specificati viene sottoposto a mirroring. Se nessuno dei due protocolli o CIDR, viene eseguito il mirroring di tutto il traffico IPv4. Per specificare ICMP per IPv6, utilizza 58. Puoi fornire più protocolli utilizzando un elenco separato da virgole.
  • DIRECTION: la direzione del traffico per eseguire il mirroring rispetto alla VM. Per impostazione predefinita, è impostato su both, che significa che il traffico sia in entrata che in uscita viene sottoposto a mirroring. Puoi limitare quali pacchetti vengono acquisiti specificando ingress per l'acquisizione o egress per acquisire solo i pacchetti in uscita.

Terraform

Puoi utilizzare un modello Terraform risorsa per creare un criterio di mirroring pacchetto.

resource "google_compute_packet_mirroring" "default" {
  region      = "europe-west1"
  name        = "my-mirroring"
  description = "My packet mirror"
  network {
    url = google_compute_network.ilb_network.id
  }
  collector_ilb {
    url = google_compute_forwarding_rule.default.id
  }
  mirrored_resources {
    tags = ["foo"]
    instances {
      url = google_compute_instance.vm_test.id
    }
  }
  filter {
    ip_protocols = ["tcp"]
    cidr_ranges  = ["0.0.0.0/0"]
    direction    = "BOTH"
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta: Comandi Terraform di base.

API

Per creare un criterio di Mirroring pacchetto, effettua una richiesta POST alla Metodo packetMirrorings.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings
{
  "name": "POLICY_NAME",
  "enable": "ENABLED",
  "network": {
    "url": "NETWORK_URL"
  },
  "priority": PRIORITY,
  "mirroredResources": {
    "subnetworks": [
      {
        "url": "SUBNET_URL"
      }
    ],
    "tags": [
      "TAG"
    ],
    "instances": [
      {
        "url": "INSTANCE"
      }
    ]
  },
  "collectorIlb": {
    "url": "FORWARDING_RULE_URL"
  },
  "filter": {
    "IPProtocols": [
      "PROTOCOL"
    ],
    "cidrRanges": [
      "CIDR_RANGE"
    ],
    "direction": "DIRECTION"
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto per creare il criterio in.
  • REGION: la regione in cui le origini con mirroring e il raccoglitore in cui si trovano.
  • POLICY_NAME: il nome del criterio di mirroring pacchetto.
  • ENABLED: indica se il criterio viene applicato o meno. Le opzioni sono TRUE e FALSE. TRUE è l'impostazione predefinita.
  • NETWORK_URL: l'URL della rete in cui è stato eseguito il mirroring le fonti.
  • PRIORITY: la priorità della regola di forwarding, che viene utilizzato per interrompere i collegamenti quando esiste più di una regola corrispondente. La l'intervallo valido è compreso tra 0 e 65.535 e il valore predefinito è 1000.
  • SUBNET_URL: l'URL di una subnet di cui eseguire il mirroring. Google Cloud esegue il mirroring delle istanze esistenti e future nella subnet. Puoi fornire utilizzando un elenco separato da virgole.
  • TAG: un tag di rete. Mirroring di Google Cloud con il tag di rete. Puoi fornire più tag utilizzando un elenco separato da virgole.
  • INSTANCE: l'ID completo di un'istanza di cui eseguire il mirroring. Puoi fornire più istanze utilizzando un elenco separato da virgole.
  • FORWARDING_RULE_URL: l'URL di una regola di forwarding che è configurato come raccoglitore di mirroring. Google Cloud invia tutte ha eseguito il mirroring del traffico al bilanciatore del carico di rete passthrough interno associato.
  • PROTOCOL: uno o più protocolli. Le opzioni sono tcp, udp, icmp, esp, ah, ipip, sctp o un Numero di protocollo IANA. In caso contrario protocolli specifici, tutto il traffico che corrisponde viene eseguito il mirroring degli intervalli CIDR specificati. Se né gli intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per specificare l'ICMP per IPv6, inserisci 58. Puoi fornire più protocolli utilizzando il seguente modulo: "icmp", "udp".
  • CIDR_RANGE: uno o più intervalli CIDR IPv4 o IPv6 da speculare. Se non vengono specificati intervalli CIDR, tutto il traffico IPv4 che corrisponde viene eseguito il mirroring dei protocolli specificati. Se né gli intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza "0.0.0.0/0", "::/0". Puoi includere intervalli CIDR sia IPv4 che IPv6. Puoi fornire più intervalli CIDR utilizzando il modulo seguente: "192.0.2.0/24", "2001:0DB8::/32".
  • PROTOCOL: uno o più protocolli di cui eseguire il mirroring.
  • DIRECTION: la direzione del traffico per eseguire il mirroring. Opzioni sono INGRESS, EGRESS o BOTH. Il valore predefinito è BOTH.

Verifica il mirroring pacchetto

verifica che le istanze del raccoglitore ricevano correttamente il mirroring traffico, puoi utilizzare tcpdump.

  1. Connettiti a un'istanza del raccoglitore.

  2. Se il comando tcpdump non è disponibile, installalo.

  3. Identifica l'interfaccia di rete:

    ip address

    Nell'elenco delle interfacce di rete, individua il nome associato con l'indirizzo IPv4 interno principale dell'istanza di raccoglitore, ad esempio ad esempio ens4.

  4. Inizia ad analizzare i pacchetti:

    sudo tcpdump -i INTERFACE_NAME -f "host IP_ADDRESS"

    Sostituisci quanto segue:

    • INTERFACE_NAME: il nome dell'interfaccia che identificati nel passaggio 3.
    • IP_ADDRESS: l'indirizzo IPv4 di un'origine sottoposta a mirroring VM.

  5. Per eseguire il test, invia il traffico dalla VM di origine sottoposta a mirroring, ad esempio inviando un ping ICMP. Nell'output di tcpdump, verifica che sia possibile per vedere il traffico previsto.

Modifica un criterio di Mirroring pacchetto

Puoi aggiornare un criterio esistente per modificare dettagli come le origini sottoposte a mirroring le destinazioni dei raccoglitori.

Console

  1. Nella console Google Cloud, vai alla pagina Mirroring pacchetto.

    Vai a Mirroring pacchetto

  2. Dall'elenco dei criteri di mirroring pacchetto, fai clic su quello che ti interessa per modificare.

  3. Nella pagina dei dettagli delle norme, fai clic su Modifica.

  4. Modifica i campi che vuoi aggiornare. La console segue lo stesso come passaggi per la creazione di un criterio. Per informazioni su ogni campo, consulta Creare un criterio di mirroring pacchetto.

gcloud

Per aggiornare un criterio di Mirroring pacchetto esistente, utilizza il metodo Comando packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME [--async] \
  [--collector-ilb=FORWARDING_RULE_NAME] [--description=DESCRIPTION] [--enable] \
  [--filter-direction=DIRECTION] [--region=REGION] \
  [--add-filter-cidr-ranges=[CIDR_RANGE,...] | --clear-filter-cidr-ranges \
    | --remove-filter-cidr-ranges=[CIDR_RANGE,...] \
    | --set-filter-cidr-ranges=[CIDR_RANGE,...]] \
  [--add-filter-protocols=[PROTOCOL,...] | --clear-filter-protocols \
    | --remove-filter-protocols=[PROTOCOL,...] \
    | --set-filter-protocols=[PROTOCOL,...]] \
  [--add-mirrored-instances=[INSTANCE,...] | --clear-mirrored-instances \
    | --remove-mirrored-instances=[INSTANCE,...] \
    | --set-mirrored-instances=[INSTANCE,...]] \
  [--add-mirrored-subnets=[SUBNET,...] | --clear-mirrored-subnets \
    | --remove-mirrored-subnets=[SUBNET,...] \
    | --set-mirrored-subnets=[SUBNET,...]] \
  [--add-mirrored-tags=[TAG,...] | --clear-mirrored-tags \
    | --remove-mirrored-tags=[TAG,...] | --set-mirrored-tags=[TAG,...]]

Sostituisci quanto segue:

  • POLICY_NAME: il nome del mirroring pacchetto da modificare.
  • FORWARDING_RULE_NAME: il nome dell'inoltro che è configurata come raccoglitore. Google Cloud invia tutte ha eseguito il mirroring del traffico al bilanciatore del carico di rete passthrough interno associato.
  • DESCRIPTION: una descrizione del mirroring pacchetto .
  • DIRECTION: la direzione del traffico per la quale applicare il valore di Mirroring pacchetto. Le opzioni sono egress, ingress o both.
  • REGION: la regione in cui si trova il criterio.
  • CIDR_RANGE: uno o più intervalli CIDR IPv4 o IPv6 per eseguire il mirroring. Se non vengono specificati intervalli CIDR, tutto il traffico IPv4 che corrisponde viene eseguito il mirroring dei protocolli specificati. Se né gli intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza 0.0.0.0/0,::/0. Puoi includere intervalli CIDR sia IPv4 che IPv6. Puoi fornire più intervalli utilizzando un elenco separato da virgole.
  • PROTOCOL: uno o più protocolli di cui eseguire il mirroring. I valori validi sono tcp, udp, icmp, esp, ah, ipip, sctp o un numero di protocollo IANA. Se non vengono specificati protocolli, il traffico che corrisponde agli intervalli CIDR specificati viene sottoposto a mirroring. Se nessuno dei due protocolli o CIDR, viene eseguito il mirroring di tutto il traffico IPv4. Per specificare ICMP per IPv6, utilizza 58. Puoi fornire più protocolli utilizzando un elenco separato da virgole.
  • INSTANCE: l'ID completo di una o più VM di Compute Engine. Puoi fornire più istanze utilizzando un'istanza elenco separato da virgole.
  • SUBNET: una o più subnet. Puoi fornire più subnet utilizzando un elenco separato da virgole. Google Cloud esegue il mirroring delle istanze esistenti e future nella subnet.
  • TAG: uno o più tag di rete. Puoi fornire più tag utilizzando un elenco separato da virgole.

API

Per aggiornare un criterio di Mirroring pacchetto, effettua una richiesta POST all'indirizzo Metodo packetMirrorings.patch.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
{
  "name": "POLICY_NAME",
  "description": "DESCRIPTION",
  "priority": "PRIORITY",
  "collectorIlb": {
    "url": "FORWARDING_RULE_URL"
  },
  "mirroredResources": {
    "subnetworks": [
      {
        "url": "SUBNET_URL"
      }
    ],
    "instances": [
      {
        "url": "INSTANCE_URL"
      }
    ],
    "tags": [
      "NETWORK_TAGS"
    ]
  },
  "filter": {
    "cidrRanges": [
      "CIDR_RANGE"
    ],
    "IPProtocols": [
      "PROTOCOL"
    ],
    "direction": "DIRECTION"
  },
  "enable": "ENABLED"
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui .
  • REGION: la regione del criterio di mirroring pacchetto.
  • POLICY_NAME: il nome del pacchetto per modificare il criterio di mirroring.
  • DESCRIPTION: una descrizione facoltativa delle norme.
  • PRIORITY: la priorità del criterio, utilizzata per per interrompere i collegamenti quando sono presenti più criteri corrispondenti. Il valore predefinito è 1000. L'intervallo valido è compreso tra 0 e 65.535.
  • FORWARDING_RULE_URL: l'URL di una regola di forwarding con Mirroring pacchetto abilitato. Google Cloud invia tutte ha eseguito il mirroring del traffico al bilanciatore del carico di rete passthrough interno associato.
  • SUBNET_URL: l'URL di una subnet. Google Cloud esegue il mirroring delle istanze esistenti e future nella subnet. Puoi fornire più subnet utilizzando un elenco separato da virgole.
  • INSTANCE_URL: l'URL di un'istanza VM per eseguire il mirroring. Puoi fornire più istanze utilizzando una virgola dall'elenco di lettura.
  • NETWORK_TAGS: un tag di rete. Google Cloud esegue il mirroring delle istanze che hanno uno o più tag di rete. Puoi fornire più tag utilizzando un elenco separato da virgole.
  • CIDR_RANGE: uno o più intervalli CIDR IPv4 o IPv6 per eseguire il mirroring. Se non vengono specificati intervalli CIDR, tutto il traffico IPv4 che corrisponde viene eseguito il mirroring dei protocolli specificati. Se né gli intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza "0.0.0.0/0", "::/0". Puoi includere intervalli CIDR sia IPv4 che IPv6. Puoi fornire più intervalli CIDR utilizzando il modulo seguente: "192.0.2.0/24", "2001:DB8::/32".
  • IP_PROTOCOL: uno o più protocolli. Le opzioni sono tcp, udp, icmp, esp, ah, ipip, sctp o un Numero di protocollo IANA. In caso contrario protocolli specifici, tutto il traffico che corrisponde viene eseguito il mirroring degli intervalli CIDR specificati. Se non ci sono intervalli CIDR né protocolli viene eseguito il mirroring di tutto il traffico IPv4. Per specificare il protocollo ICMP per IPv6, utilizza 58. Puoi fornire più utilizzando il seguente modulo: "icmp", "udp".
  • DIRECTION: la direzione del traffico per eseguire il mirroring. Le opzioni sono INGRESS, EGRESS o BOTH. Il valore predefinito è BOTH.
  • ENABLED: indica se il criterio è attivato o meno. Le opzioni sono TRUE o FALSE.

Elenca criteri di mirroring pacchetto

Puoi elencare i criteri di mirroring pacchetto per visualizzare i criteri esistenti.

Console

  • Nella console Google Cloud, vai alla pagina Mirroring pacchetto.

    Vai a Mirroring pacchetto

    La console Google Cloud elenca tutti i criteri presenti nel tuo progetto.

gcloud

Per elencare i criteri di mirroring pacchetto presenti nel tuo progetto o per regione specifica, utilizza Comando packet-mirrorings list.

gcloud compute packet-mirrorings list \
  [--filter="region:(REGION...)"]

Sostituisci REGION con il nome della regione che contiene criteri da elencare.

API

Per elencare i criteri di mirroring pacchetto esistenti nel tuo progetto, crea un GET richiesta alla Metodo packetMirrorings.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/packetMirrorings

Sostituisci PROJECT_ID con l'ID del tuo progetto.

Per elencare i criteri di mirroring pacchetto esistenti per una particolare regione, crea una Richiesta di GET inviata a Metodo packetMirrorings.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto che contiene i criteri dall'elenco.
  • REGION: la regione che contiene i criteri da elencare.

Descrizione di un criterio di Mirroring pacchetto

Puoi descrivere un criterio di mirroring pacchetto per visualizzare dettagli quali filtri corretti.

Console

  1. Nella console Google Cloud, vai alla pagina Mirroring pacchetto.

    Vai a Mirroring pacchetto

  2. Dall'elenco dei criteri di mirroring pacchetto, seleziona il criterio che vuoi visualizzare. La console Google Cloud mostra i dettagli del criterio selezionato.

gcloud

Per descrivere un criterio di Mirroring pacchetto, utilizza il metodo Comando packet-mirrorings describe.

gcloud compute packet-mirrorings describe POLICY_NAME \
  --region=REGION \

Sostituisci quanto segue:

  • POLICY_NAME: il nome del criterio di Mirroring pacchetto su a descrivere.
  • REGION: la regione in cui si trova il criterio.

API

Per descrivere un criterio di mirroring pacchetto, invia una richiesta GET alla Metodo packetMirrorings.get.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui si trova il criterio individuarlo.
  • REGION: la regione in cui si trova il criterio.
  • POLICY_NAME: il nome del criterio di Mirroring pacchetto su a descrivere.

Disattivare o attivare un criterio di mirroring pacchetto

Puoi disattivare o attivare un criterio di mirroring pacchetto per interrompere o avviare la raccolta con il mirroring del traffico.

Console

  1. Nella console Google Cloud, vai alla pagina Mirroring pacchetto.

    Vai a Mirroring pacchetto

  2. Dall'elenco dei criteri di mirroring pacchetto, seleziona quello da disabilitare o attiva.

  3. Fai clic su Disattiva o Attiva.

  4. Conferma facendo clic su Disattiva o Attiva.

gcloud

Per disattivare un criterio di Mirroring pacchetto, utilizza il metodo Comando packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME \
  --region=REGION \
  --no-enable

Sostituisci quanto segue:

  • POLICY_NAME: il nome del criterio di Mirroring pacchetto su disattivare o attivare.
  • REGION: la regione in cui si trova il criterio.

Per attivare un criterio di Mirroring pacchetto, utilizza il metodo Comando packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME \
  --region=REGION \
  --enable

Sostituisci quanto segue:

  • POLICY_NAME: il nome del criterio di Mirroring pacchetto su disattivare o attivare.
  • REGION: la regione in cui si trova il criterio.

API

Per disattivare o attivare un criterio di mirroring pacchetto esistente, crea un PATCH al metodo packetMirrorings.patch.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
{
  "enable": "FALSE|TRUE"
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui si trova il criterio individuarlo.
  • REGION: la regione in cui si trova il criterio.
  • POLICY_NAME: il nome del criterio di Mirroring pacchetto su disattivare.

Elimina un criterio di Mirroring pacchetto

Puoi eliminare un criterio di mirroring pacchetto per rimuoverlo dal tuo progetto. Dopo il giorno elimini un criterio, Google Cloud smette di eseguire il mirroring di tutto il traffico correlati alle norme.

Console

  1. Nella console Google Cloud, vai alla pagina Mirroring pacchetto.

    Vai a Mirroring pacchetto

  2. Dall'elenco dei criteri di mirroring pacchetto, seleziona quello che vuoi da eliminare.

  3. Fai clic su Elimina.

  4. Conferma facendo clic su Elimina.

gcloud

Per eliminare un criterio di mirroring pacchetto, utilizza Comando packet-mirrorings delete.

gcloud compute packet-mirrorings delete POLICY_NAME \
  --region=REGION \

Sostituisci quanto segue:

  • POLICY_NAME: il nome del criterio di Mirroring pacchetto su eliminare.
  • REGION: la regione in cui si trova il criterio.

API

Per eliminare un criterio di mirroring pacchetto, crea un DELETE al metodo packetMirrorings.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui si trova il criterio individuarlo.
  • POLICY_NAME: il nome del criterio di Mirroring pacchetto su eliminare.
  • REGION: la regione in cui si trova il criterio.

Risoluzione dei problemi

Se il criterio di mirroring pacchetto non raccoglie il traffico di mirroring desiderato, verifica le seguenti configurazioni:

  • Verifica di avere regole firewall che consentano il traffico proveniente dalle istanze sottoposte a mirroring alle istanze del raccoglitore.

  • Controlla che le origini sottoposte a mirroring includano o escludono le istanze di cui eseguire il mirroring. Ad esempio, se specifichi una subnet come origine sottoposta a mirroring, per le istanze future nella subnet. Se specifichi i tag, le istanze con tag corrispondenti vengono sottoposte a mirroring.

  • Verifica che i filtri del mirroring pacchetto non siano troppo ampi o troppo stretti. Tu potrebbero aver configurato involontariamente filtri per includere o escludere determinati per via del traffico.

  • Se hai configurato un criterio di mirroring pacchetto per raccogliere il traffico IPv6, assicura che le sorgenti del traffico sottoposto a mirroring VM a doppio stack collegate a subnet a doppio stack.