Utilizzo del Mirroring pacchetto
Puoi utilizzare il mirroring dei pacchetti per eseguire il mirroring del traffico da e verso determinate istanze di macchine virtuali (VM). Il traffico raccolto può aiutarti a rilevare le minacce alla sicurezza e a monitorare le prestazioni delle applicazioni. Per maggiori dettagli sul mirroring dei pacchetti, vedi Mirroring dei pacchetti.
Il traffico sottoposto a mirroring viene inviato alle VM in cui hai installato il software appropriato. Per un elenco dei fornitori che forniscono software, vedi Fornitori partner di Mirroring pacchetto.
Le sezioni seguenti descrivono come creare e gestire il mirroring pacchetto criteri.
Limitazioni
Mirroring pacchetti non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.
Per motivi di sicurezza, il servizio Mirroring pacchetto non esegue il mirroring dei pacchetti che sono inviato all'intervallo di indirizzi IP locali rispetto al collegamento
169.254.0.0/16
. Questo intervallo include richieste di metadati da una VM ai relativi metadati server web.L'utilizzo di un servizio LoadBalancer di Google Kubernetes Engine (GKE) come collezionatore di mirroring dei pacchetti non è supportato.
Se alle istanze del raccoglitore potrebbe essere applicato un criterio di mirroring pacchetto, Il mirroring pacchetto li ignora e non esegue il mirroring del traffico.
Prima di iniziare
Prima di creare un criterio di mirroring dei pacchetti, devi disporre delle autorizzazioni appropriate. Devi anche creare un bilanciatore del carico di rete passthrough interno che agisca da raccoglitore destinazione. Questo bilanciatore del carico di rete passthrough interno richiede un gruppo di istanze in modo che il servizio di backend possa utilizzare le VM come destinazioni del raccoglitore.
Autorizzazioni
Per creare e gestire i criteri di mirroring pacchetto, Google Cloud offre due Ruoli correlati al Mirroring pacchetto:
compute.packetMirroringUser
concede agli utenti l'autorizzazione per creare, aggiornare ed eliminare i criteri di mirroring dei pacchetti. Per utilizzare Mirroring pacchetto, gli utenti devono avere questo ruolo in ai progetti in cui creano criteri di mirroring pacchetto.compute.packetMirroringAdmin
concede agli utenti l'autorizzazione per eseguire il mirroring di determinate risorse. Anche se gli utenti hanno l'autorizzazione per creare un criterio di mirroring dei pacchetti, devono comunque disporre dell'autorizzazione per eseguire il mirroring delle origini correlate. Utilizza questo ruolo nei progetti in cui il proprietario di un'impostazione potrebbe non disporre di altre autorizzazioni, ad esempio negli scenari VPC condivisi.
Per ulteriori informazioni sull'utilizzo dei ruoli IAM, consulta Gestire l'accesso a progetti, cartelle e organizzazioni nella documentazione IAM.
Creare istanze del raccoglitore
Mirroring pacchetto richiede un gruppo di istanze di istanze del raccoglitore. Per dettagli sui gruppi di istanze, consulta la seguente documentazione: Creare un nuovo modello di istanza e Creare un gruppo di istanze gestite in una singola zona.
Crea un bilanciatore del carico interno per il mirroring del pacchetto
Per abilitare il mirroring dei pacchetti, devi disporre di un bilanciatore del carico di rete passthrough interno che possa fungere da raccoltore di mirroring dei pacchetti. Il bilanciatore del carico di rete passthrough interno deve soddisfare i seguenti requisiti:
- La regola di forwarding del bilanciatore del carico di rete passthrough interno deve avere il mirroring pacchetto quando la regola viene creata. Questo stato non può essere modificato dopo la regola viene creato. Puoi utilizzare questa regola di forwarding per raccogliere sia IPv4 sia IPv6 per via del traffico.
- Il bilanciatore del carico di rete passthrough interno si trova nella stessa regione delle istanze di cui si mirroring.
- Il servizio di backend del bilanciatore del carico di rete passthrough interno deve utilizzare un'istanza
affinità sessione di
NONE
(hash a 5 tuple). - Il servizio di backend del bilanciatore del carico di rete passthrough interno deve avere la sottoimpostazione del backend disabilitata.
Se le istanze del collector non sono configurate per rispondere al controllo di integrità che hai configurato con il servizio di backend, il controllo di integrità può non riuscire. In questo caso, i pacchetti possono comunque essere sottoposti a mirroring.
Per ulteriori informazioni su come creare un bilanciatore del carico di rete passthrough interno per Mirroring pacchetto, vedi Creazione di un bilanciatore del carico per il mirroring dei pacchetti.
Configurazione delle regole del firewall
Per preparare la tua rete VPC per il traffico Mirroring pacchetto, segui questi passaggi:
Assicurati che le istanze del raccoglitore nel gruppo di istanze del bilanciatore del carico possano ricevere traffico dalle istanze sottoposte a mirroring o dagli intervalli di indirizzi IPv4 e IPv6 delle istanze sottoposte a mirroring. Ad esempio, per consentire alle istanze del raccoglitore di ricevere IPv4 traffico proveniente da qualsiasi VM, crea una regola firewall con un intervallo di indirizzi IPv4 di origine di
0.0.0.0/0
. Per consentire alle istanze del collector di ricevere traffico IPv6 da qualsiasi VM, crea una regola firewall con un intervallo di indirizzi IPv6 di origine::/0
. Per impedire al traffico di internet di raggiungere le istanze del raccoglitore, assegna solo indirizzi IPv4 e IPv6 interni.Assicurati che nessuna altra regola firewall sostituisca la regola di uscita implicita in modo che il traffico sottoposto a mirroring possa fluire dalle istanze di origine alle istanze di destinazione che fanno parte del bilanciatore del carico di rete passthrough interno.
Assicurati che le istanze del raccoglitore possano ricevere traffico dai sistemi di controllo di integrità di Google Cloud. Ad esempio, per il traffico IPv4, crea una regola firewall. che consente il traffico verso le istanze del raccoglitore dall'IPv4 intervalli di indirizzi di
130.211.0.0/22
e35.191.0.0/16
. Per il traffico IPv6, crea una regola firewall che consenta il traffico verso le istanze del raccoglitore Intervallo di indirizzi IPv6 di2600:2d00:1:b029::/64
.Se vuoi testare il mirroring dei pacchetti inviando manualmente il traffico in uscita da una o più istanze sottoposte a mirroring, crea una regola firewall che consenta il traffico SSH a queste istanze. Ad esempio, per consentire le connessioni SSH alle istanze sottoposte a mirroring da tutti gli indirizzi IPv4 e IPv6, consenti il traffico in entrata Traffico
TCP
sulla porta22
da qualsiasi indirizzo IPv4 e IPv6 di origine. Se vuoi consentire solo le connessioni SSH avviate da un determinato intervallo di indirizzi IPv4 o IPv6, specifica questo intervallo di indirizzi IPv4 o IPv6 come intervallo di origine per la regola del firewall. Per ulteriori informazioni su come testare il bilanciatore del carico di rete passthrough interno, consulta Eseguire il test del bilanciamento del carico.
Se non esistono regole che consentano questo traffico, consulta Utilizzare le regole del firewall VPC per crearle. Per ulteriori informazioni sulla creazione di regole firewall per un bilanciatore del carico di rete passthrough interno, consulta Configurazione delle regole firewall nella documentazione di Cloud Load Balancing.
Crea un criterio di mirroring dei pacchetti
Per avviare il mirroring del traffico da e verso determinate istanze, crea un pacchetto di mirroring. Google Cloud esegue il mirroring di qualsiasi istanza che corrisponde almeno a una delle origini specificate.
Console
Nella console Google Cloud, vai alla pagina Mirroring pacchetto.
Fai clic su Crea criterio.
Inserisci le seguenti informazioni sulla norma e fai clic su Continua.
- Inserisci un nome per il criterio.
- Seleziona la regione che include le origini sottoposte a mirroring e la destinazione del collector. Il criterio di mirroring pacchetto deve trovarsi nella stessa regione come origine e destinazione.
- Ignora il campo Priority (Priorità). Al momento non può essere modificato.
- Seleziona Attivato per attivare il criterio quando lo crei.
Seleziona le reti VPC in cui si trovano la destinazione del raccoglitore e la sorgente sottoposta a mirroring, quindi fai clic su Continua.
L'origine e la destinazione possono trovarsi nella stessa rete VPC o in reti VPC diverse.
- Se si trovano nella stessa rete VPC, seleziona Origini e destinazione sottoposte a mirroring nella stessa rete VPC e poi seleziona la rete.
- Se si trovano in reti diverse, seleziona Origine sottoposta a mirroring e raccoglitore le destinazioni sono in reti VPC in peering separate seleziona la rete di origine sottoposta a mirroring e il raccoglitore rete di destinazione.
Seleziona le origini con mirroring e fai clic su Continua. Puoi selezionare un'opzione o più fonti. Google Cloud esegue il mirroring di qualsiasi istanza che corrisponde almeno una delle origini selezionate.
- Subnet: seleziona una o più subnet. Google Cloud esegue il mirroring delle istanze esistenti e future in sottoreti selezionate.
- Tag di rete: specifica uno o più tag di rete. Google Cloud esegue il mirroring delle istanze che hanno almeno uno dei i tag specificati.
- Nome istanza: seleziona le istanze specifiche da sottoporre a mirroring.
Seleziona un bilanciatore del carico di rete passthrough interno per cui è stato configurato Mirroring pacchetto, poi fai clic su Continua. Google Cloud invia il traffico sottoposto a mirroring alle istanze che si trovano dietro il bilanciatore del carico di rete passthrough interno.
Per VPC condiviso, se la destinazione del raccoglitore e le origini sottoposte a mirroring si trovano nella stessa rete VPC condivisa, devi selezionare il progetto in cui si trova la destinazione del raccoglitore e poi un bilanciatore del carico.
Per selezionare il traffico di cui eseguire il mirroring:
- Per eseguire il mirroring di tutto il traffico IPv4, seleziona Mirroring di tutto il traffico IPv4 (impostazione predefinita).
- Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, seleziona Esegui il mirroring del traffico filtrato e poi svolgi i seguenti passaggi:
- Seleziona Consenti tutti i protocolli.
- Seleziona Consenti tutti gli intervalli IPv4 (0.0.0.0/0).
- Seleziona Consenti tutti gli intervalli IPv6 (::/0).
- Seleziona Consenti il traffico in entrata e in uscita.
Per limitare il traffico sottoposto a mirroring, seleziona Esegui il mirroring del traffico filtrato e poi procedi nel seguente modo:
Per limitare il traffico sottoposto a mirroring in base al protocollo, seleziona Consenti protocolli specifici e poi i protocolli. Se non vedi un protocollo per il quale vuoi eseguire il mirroring del traffico, seleziona Altri protocolli e inserisci il protocollo nella Altri protocolli. I valori validi sono
tcp
,udp
,esp
,ah
,ipip
,sctp
o un Numero di protocollo IANA. Per specificare ICMP per IPv6, inserisci58
.Per i filtri per intervallo IPv4:
- Per eseguire il mirroring di tutto il traffico IPv4, seleziona Consenti tutti gli intervalli IPv4 (0.0.0.0/0).
- Per eseguire il mirroring del traffico per intervalli di indirizzi IPv4 specifici, seleziona Consenti intervalli IPv4 specifici. Nel campo Intervalli IPv4, digita un singolo intervallo di indirizzi IPv4, quindi premi Invio. Puoi aggiungere più intervalli IPv4 premendo Invio dopo a ogni intervallo digitato.
Per i filtri intervallo IPv6, segui questi passaggi:
- Per filtrare tutto il traffico IPv6, seleziona Nessuno.
- Per eseguire il mirroring di tutto il traffico IPv6, seleziona Consenti tutti gli intervalli IPv6 (::/0).
- Per eseguire il mirroring del traffico per intervalli di indirizzi IPv6 specifici, seleziona Consenti intervalli IPv6 specifici. Nel campo Intervalli IPv6, digita un singolo intervallo di indirizzi IPv6 e premi Invio. Puoi aggiungere più intervalli IPv6 premendo Invio dopo a ogni intervallo digitato.
Seleziona la Direzione del traffico del traffico di cui vuoi eseguire il mirroring.
Per creare il criterio di mirroring pacchetto, fai clic su Invia.
gcloud
Per creare un criterio di mirroring pacchetto, utilizza
Comando packet-mirrorings create
.
gcloud compute packet-mirrorings create POLICY_NAME \ --region=REGION \ --network=NETWORK_NAME \ --collector-ilb=FORWARDING_RULE_NAME \ [--mirrored-subnets=SUBNET,[SUBNET,...]] \ [--mirrored-tags=TAG,[TAG,...]] \ [--mirrored-instances=INSTANCE,[INSTANCE,...]] \ [--filter-cidr-ranges=CIDR_RANGE,[CIDR_RANGE,...]] \ [--filter-protocols=PROTOCOL,[PROTOCOL,...]] \ [--filter-direction=DIRECTION]
Sostituisci quanto segue:
POLICY_NAME
: il nome del criterio di mirroring dei pacchetti.REGION
: la regione in cui le origini con mirroring e del raccoglitore.NETWORK_NAME
: la rete in cui si trovano le origini messe in mirroring.FORWARDING_RULE_NAME
: il nome della regola di inoltro configurata come collettore di mirroring. Google Cloud invia tutte ha eseguito il mirroring del traffico al bilanciatore del carico di rete passthrough interno associato.SUBNET
: il nome di una o più subnet di cui eseguire il mirroring. Puoi fornire più subnet utilizzando un elenco separato da virgole. Google Cloud esegue il mirroring delle istanze esistenti e future nella subnet.TAG
: uno o più tag di rete. Google Cloud esegue il mirroring delle istanze con il tag di rete. Puoi fornire più tag utilizzando un elenco separato da virgole.INSTANCE
: l'ID completo di una o più istanze da eseguire il mirroring. Puoi fornire più istanze utilizzando un'istanza elenco separato da virgole.CIDR_RANGE
: uno o più intervalli CIDR IPv4 o IPv6 da riflettere. Se non vengono specificati intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4 che corrisponde ai protocolli specificati. Se non vengono specificati né intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza0.0.0.0/0,::/0
. Puoi includere intervalli CIDR IPv4 e IPv6. Puoi fornire più intervalli utilizzando un elenco separato da virgole.PROTOCOL
: uno o più protocolli da eseguire il mirroring. I valori validi sonotcp
,udp
,icmp
,esp
,ah
,ipip
,sctp
o un numero di protocollo IANA. Se non vengono specificati protocolli, tutto il traffico corrispondente agli intervalli CIDR specificati viene sottoposto a mirroring. Se non vengono specificati né protocolli né intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4. Per specificare ICMP per IPv6, utilizza58
. Puoi fornire più protocolli utilizzando un elenco separato da virgole.DIRECTION
: la direzione del traffico per eseguire il mirroring rispetto alla VM. Per impostazione predefinita, è impostato suboth
, che significa che il traffico sia in entrata che in uscita viene sottoposto a mirroring. Puoi limitare quali pacchetti vengono acquisiti specificandoingress
per l'acquisizione oegress
per acquisire solo i pacchetti in uscita.
Terraform
Puoi utilizzare una risorsa Terraform per creare un criterio di mirroring dei pacchetti.
Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.
API
Per creare un criterio di Mirroring pacchetto, effettua una richiesta POST
alla
Metodo packetMirrorings.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings { "name": "POLICY_NAME", "enable": "ENABLED", "network": { "url": "NETWORK_URL" }, "priority": PRIORITY, "mirroredResources": { "subnetworks": [ { "url": "SUBNET_URL" } ], "tags": [ "TAG" ], "instances": [ { "url": "INSTANCE" } ] }, "collectorIlb": { "url": "FORWARDING_RULE_URL" }, "filter": { "IPProtocols": [ "PROTOCOL" ], "cidrRanges": [ "CIDR_RANGE" ], "direction": "DIRECTION" } }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto per creare il criterio in.REGION
: la regione in cui si trovano le origini sottoposte a mirroring e la destinazione del raccoltore.POLICY_NAME
: il nome del criterio di mirroring dei pacchetti.ENABLED
: indica se il criterio viene applicato o meno. Le opzioni sonoTRUE
eFALSE
.TRUE
è il valore predefinito.NETWORK_URL
: l'URL della rete in cui è stato eseguito il mirroring le fonti.PRIORITY
: la priorità della regola di inoltro, che viene utilizzata per risolvere i casi in cui sono presenti più regole corrispondenti. L'intervallo valido è compreso tra 0 e 65.535 e il valore predefinito è 1000.SUBNET_URL
: l'URL di una sottorete da eseguire il mirroring. Google Cloud riflette le istanze esistenti e future nella subnet. Puoi fornire utilizzando un elenco separato da virgole.TAG
: un tag di rete. Google Cloud esegue il mirroring delle istanze con il tag di rete. Puoi fornire più tag utilizzando un elenco separato da virgole.INSTANCE
: l'ID completo di un'istanza da eseguire il mirroring. Puoi fornire più istanze utilizzando un elenco separato da virgole.FORWARDING_RULE_URL
: l'URL di una regola di forwarding che è configurato come raccoglitore di mirroring. Google Cloud invia tutte ha eseguito il mirroring del traffico al bilanciatore del carico di rete passthrough interno associato.PROTOCOL
: uno o più protocolli. Le opzioni sonotcp
,udp
,icmp
,esp
,ah
,ipip
,sctp
o un Numero di protocollo IANA. Se non vengono specificati protocolli, tutto il traffico che corrisponde agli intervalli CIDR specificati viene sottoposto a mirroring. Se né gli intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per specificare l'ICMP per IPv6, inserisci58
. Puoi fornire più protocolli utilizzando il seguente modulo:"icmp", "udp"
.CIDR_RANGE
: uno o più intervalli CIDR IPv4 o IPv6 da riflettere. Se non vengono specificati intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4 che corrisponde ai protocolli specificati. Se né gli intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza"0.0.0.0/0", "::/0"
. Puoi includere intervalli CIDR IPv4 e IPv6. Puoi fornire più intervalli CIDR utilizzando il seguente formato:"192.0.2.0/24", "2001:0DB8::/32"
.PROTOCOL
: uno o più protocolli da eseguire il mirroring.DIRECTION
: la direzione del traffico di cui eseguire il mirroring. Opzioni sonoINGRESS
,EGRESS
oBOTH
. Il valore predefinito èBOTH
.
Verificare il mirroring dei pacchetti
verifica che le istanze del raccoglitore ricevano correttamente il mirroring
traffico, puoi utilizzare tcpdump
.
Se il comando
tcpdump
non è disponibile, installalo.Identifica l'interfaccia di rete:
ip address
Nell'elenco delle interfacce di rete, individua il nome associato con l'indirizzo IPv4 interno principale dell'istanza di raccoglitore, ad esempio ad esempio
ens4
.Inizia ad analizzare i pacchetti:
sudo tcpdump -i INTERFACE_NAME -f "host IP_ADDRESS"
Sostituisci quanto segue:
INTERFACE_NAME
: il nome dell'interfaccia che hai identificato nel passaggio 3.IP_ADDRESS
: l'indirizzo IPv4 di un'origine sottoposta a mirroring VM.
Per eseguire il test, invia il traffico dalla VM di origine sottoposta a mirroring, ad esempio inviando un ping
ICMP
. Nell'output ditcpdump
, verifica di poter vedere il traffico previsto.
Modifica un criterio di Mirroring pacchetto
Puoi aggiornare un criterio esistente per modificare dettagli come le origini sottoposte a mirroring o le destinazioni dei collezionisti.
Console
Nella console Google Cloud, vai alla pagina Mirroring pacchetto.
Dall'elenco dei criteri di mirroring pacchetto, fai clic su quello che ti interessa per modificare.
Nella pagina dei dettagli delle norme, fai clic su Modifica.
Modifica i campi che vuoi aggiornare. La console segue lo stesso come passaggi per la creazione di un criterio. Per informazioni su ogni campo, consulta Creare un criterio di mirroring pacchetto.
gcloud
Per aggiornare un criterio di Mirroring pacchetto esistente, utilizza il metodo
Comando packet-mirrorings update
.
gcloud compute packet-mirrorings update POLICY_NAME [--async] \ [--collector-ilb=FORWARDING_RULE_NAME] [--description=DESCRIPTION] [--enable] \ [--filter-direction=DIRECTION] [--region=REGION] \ [--add-filter-cidr-ranges=[CIDR_RANGE,...] | --clear-filter-cidr-ranges \ | --remove-filter-cidr-ranges=[CIDR_RANGE,...] \ | --set-filter-cidr-ranges=[CIDR_RANGE,...]] \ [--add-filter-protocols=[PROTOCOL,...] | --clear-filter-protocols \ | --remove-filter-protocols=[PROTOCOL,...] \ | --set-filter-protocols=[PROTOCOL,...]] \ [--add-mirrored-instances=[INSTANCE,...] | --clear-mirrored-instances \ | --remove-mirrored-instances=[INSTANCE,...] \ | --set-mirrored-instances=[INSTANCE,...]] \ [--add-mirrored-subnets=[SUBNET,...] | --clear-mirrored-subnets \ | --remove-mirrored-subnets=[SUBNET,...] \ | --set-mirrored-subnets=[SUBNET,...]] \ [--add-mirrored-tags=[TAG,...] | --clear-mirrored-tags \ | --remove-mirrored-tags=[TAG,...] | --set-mirrored-tags=[TAG,...]]
Sostituisci quanto segue:
POLICY_NAME
: il nome del mirroring pacchetto da modificare.FORWARDING_RULE_NAME
: il nome dell'inoltro che è configurata come raccoglitore. Google Cloud invia tutte ha eseguito il mirroring del traffico al bilanciatore del carico di rete passthrough interno associato.DESCRIPTION
: una descrizione del criterio di mirroring pacchetto.DIRECTION
: la direzione del traffico a cui applicare il criterio di mirroring pacchetto. Le opzioni sonoegress
,ingress
oboth
.REGION
: la regione in cui si trova il criterio.CIDR_RANGE
: uno o più intervalli CIDR IPv4 o IPv6 da eseguire il mirroring. Se non vengono specificati intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4 che corrisponde ai protocolli specificati. Se né gli intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza0.0.0.0/0,::/0
. Puoi includere intervalli CIDR sia IPv4 che IPv6. Puoi fornire più intervalli utilizzando un elenco separato da virgole.PROTOCOL
: uno o più protocolli da eseguire il mirroring. I valori validi sonotcp
,udp
,icmp
,esp
,ah
,ipip
,sctp
o un numero di protocollo IANA. Se non vengono specificati protocolli, il traffico corrispondente agli intervalli CIDR specificati viene sottoposto a mirroring. Se non vengono specificati né protocolli né intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4. Per specificare ICMP per IPv6, utilizza58
. Puoi specificare più protocolli utilizzando un elenco separato da virgole.INSTANCE
: l'ID completo di una o più istanze VM da eseguire il mirroring. Puoi fornire più istanze utilizzando un elenco separato da virgole.SUBNET
: una o più subnet. Puoi fornire più sottoreti utilizzando un elenco separato da virgole. Google Cloud esegue il mirroring delle istanze esistenti e future nella subnet.TAG
: uno o più tag di rete. Puoi fornire più tag utilizzando un elenco separato da virgole.
API
Per aggiornare un criterio di Mirroring pacchetto, effettua una richiesta POST
all'indirizzo
Metodo packetMirrorings.patch
.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME { "name": "POLICY_NAME", "description": "DESCRIPTION", "priority": "PRIORITY", "collectorIlb": { "url": "FORWARDING_RULE_URL" }, "mirroredResources": { "subnetworks": [ { "url": "SUBNET_URL" } ], "instances": [ { "url": "INSTANCE_URL" } ], "tags": [ "NETWORK_TAGS" ] }, "filter": { "cidrRanges": [ "CIDR_RANGE" ], "IPProtocols": [ "PROTOCOL" ], "direction": "DIRECTION" }, "enable": "ENABLED" }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui .REGION
: la regione del criterio di mirroring pacchetto.POLICY_NAME
: il nome del pacchetto per modificare il criterio di mirroring.DESCRIPTION
: una descrizione facoltativa delle norme.PRIORITY
: la priorità del criterio, utilizzata per risolvere i casi in cui sono presenti più criteri corrispondenti. Il valore predefinito è 1000. L'intervallo valido è compreso tra 0 e 65.535.FORWARDING_RULE_URL
: l'URL di una regola di forwarding con Mirroring pacchetto abilitato. Google Cloud invia tutto il traffico sottoposto a mirroring al bilanciatore del carico di rete passthrough interno associato.SUBNET_URL
: l'URL di una subnet. Google Cloud esegue il mirroring delle istanze esistenti e future nella subnet. Puoi fornire più sottoreti utilizzando un elenco separato da virgole.INSTANCE_URL
: l'URL di un'istanza VM da eseguire il mirroring. Puoi fornire più istanze utilizzando un elenco separato da virgole.NETWORK_TAGS
: un tag di rete. Google Cloud esegue il mirroring delle istanze che hanno uno o più tag di rete. Puoi fornire più tag utilizzando un elenco separato da virgole.CIDR_RANGE
: uno o più intervalli CIDR IPv4 o IPv6 per eseguire il mirroring. Se non vengono specificati intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4 che corrisponde ai protocolli specificati. Se non vengono specificati né intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza"0.0.0.0/0", "::/0"
. Puoi includere intervalli CIDR sia IPv4 che IPv6. Puoi fornire più intervalli CIDR utilizzando il seguente formato:"192.0.2.0/24", "2001:DB8::/32"
.IP_PROTOCOL
: uno o più protocolli. Le opzioni sonotcp
,udp
,icmp
,esp
,ah
,ipip
,sctp
o un Numero di protocollo IANA. Se non vengono specificati protocolli, tutto il traffico che corrisponde agli intervalli CIDR specificati viene sottoposto a mirroring. Se non vengono specificati né intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per specificare il protocollo ICMP per IPv6, utilizza58
. Puoi fornire più protocolli utilizzando il seguente modulo:"icmp", "udp"
.DIRECTION
: la direzione del traffico per eseguire il mirroring. Le opzioni sonoINGRESS
,EGRESS
oBOTH
. Il valore predefinito èBOTH
.ENABLED
: indica se il criterio è attivato o meno. Le opzioni sonoTRUE
oFALSE
.
Elenca criteri di mirroring pacchetto
Puoi elencare i criteri di mirroring dei pacchetti per visualizzare quelli esistenti.
Console
Nella console Google Cloud, vai alla pagina Mirroring dei pacchetti.
La console Google Cloud elenca tutte le norme del progetto.
gcloud
Per elencare i criteri di mirroring dei pacchetti nel tuo progetto o per una regione specifica, utilizza il comando packet-mirrorings list
.
gcloud compute packet-mirrorings list \ [--filter="region:(REGION...)"]
Sostituisci REGION
con il nome della regione che contiene
criteri da elencare.
API
Per elencare i criteri di mirroring pacchetto esistenti nel tuo progetto, crea un GET
richiesta alla
Metodo packetMirrorings.list
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/packetMirrorings
Sostituisci PROJECT_ID
con l'ID del tuo progetto.
Per elencare i criteri di mirroring dei pacchetti esistenti per una determinata regione, effettua una richiesta GET
al metodo packetMirrorings.list
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto che contiene i criteri dall'elenco.REGION
: la regione contenente i criteri da elencare.
Descrizione di un criterio di Mirroring pacchetto
Puoi descrivere un criterio di mirroring pacchetto per visualizzare dettagli quali filtri corretti.
Console
Nella console Google Cloud, vai alla pagina Mirroring pacchetto.
Dall'elenco dei criteri di mirroring pacchetto, seleziona il criterio che vuoi visualizzare. La console Google Cloud mostra i dettagli del criterio selezionato.
gcloud
Per descrivere un criterio di mirroring dei pacchetti, utilizza il
comando packet-mirrorings describe
.
gcloud compute packet-mirrorings describe POLICY_NAME \ --region=REGION \
Sostituisci quanto segue:
POLICY_NAME
: il nome del criterio di mirroring dei pacchetti da descrive.REGION
: la regione in cui si trova il criterio.
API
Per descrivere un criterio di mirroring pacchetto, invia una richiesta GET
alla
Metodo packetMirrorings.get
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui si trova il criterio.REGION
: la regione in cui si trova il criterio.POLICY_NAME
: il nome del criterio di Mirroring pacchetto su a descrivere.
Disattivare o attivare un criterio di mirroring pacchetto
Puoi disattivare o attivare un criterio di mirroring pacchetto per interrompere o avviare la raccolta con il mirroring del traffico.
Console
Nella console Google Cloud, vai alla pagina Mirroring pacchetto.
Dall'elenco dei criteri di mirroring dei pacchetti, seleziona quello da disattivare o attivare.
Fai clic su Disattiva o Attiva.
Conferma facendo clic su Disattiva o Attiva.
gcloud
Per disattivare un criterio di mirroring dei pacchetti, utilizza il
comando packet-mirrorings update
.
gcloud compute packet-mirrorings update POLICY_NAME \ --region=REGION \ --no-enable
Sostituisci quanto segue:
POLICY_NAME
: il nome del criterio di Mirroring pacchetto su disattivare o attivare.REGION
: la regione in cui si trova il criterio.
Per attivare un criterio di Mirroring pacchetto, utilizza il metodo
Comando packet-mirrorings update
.
gcloud compute packet-mirrorings update POLICY_NAME \ --region=REGION \ --enable
Sostituisci quanto segue:
POLICY_NAME
: il nome del criterio di Mirroring pacchetto su disattivare o attivare.REGION
: la regione in cui si trova il criterio.
API
Per disattivare o attivare un criterio di mirroring dei pacchetti esistente, invia una richiesta PATCH
al metodo packetMirrorings.patch
.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME { "enable": "FALSE|TRUE" }
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui si trova il criterio.REGION
: la regione in cui si trova il criterio.POLICY_NAME
: il nome del criterio di mirroring dei pacchetti da disattivare.
Elimina un criterio di Mirroring pacchetto
Puoi eliminare un criterio di mirroring pacchetto per rimuoverlo dal tuo progetto. Dopo il giorno elimini un criterio, Google Cloud smette di eseguire il mirroring di tutto il traffico correlati alle norme.
Console
Nella console Google Cloud, vai alla pagina Mirroring pacchetto.
Dall'elenco dei criteri di mirroring dei pacchetti, seleziona quello che vuoi eliminare.
Fai clic su Elimina.
Conferma l'operazione facendo clic su Elimina.
gcloud
Per eliminare un criterio di mirroring pacchetto, utilizza
Comando packet-mirrorings delete
.
gcloud compute packet-mirrorings delete POLICY_NAME \ --region=REGION \
Sostituisci quanto segue:
POLICY_NAME
: il nome del criterio di Mirroring pacchetto su eliminare.REGION
: la regione in cui si trova il criterio.
API
Per eliminare un criterio di mirroring dei pacchetti, invia una richiesta DELETE
al metodo packetMirrorings.delete
.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
Sostituisci quanto segue:
PROJECT_ID
: l'ID del progetto in cui si trova il criterio individuarlo.POLICY_NAME
: il nome del criterio di Mirroring pacchetto su eliminare.REGION
: la regione in cui si trova il criterio.
Risoluzione dei problemi
Se il criterio di mirroring dei pacchetti non raccoglie il traffico sottoposto a mirroring previsto, controlla le seguenti configurazioni:
Verifica di avere regole firewall che consentano il traffico proveniente dalle istanze sottoposte a mirroring alle istanze del raccoglitore.
Controlla che le origini sottoposte a mirroring includano o escludono le istanze di cui eseguire il mirroring. Ad esempio, se specifichi una subnet come origine sottoposta a mirroring, per le istanze future nella subnet. Se specifichi i tag, le istanze con tag corrispondenti vengono sottoposte a mirroring.
Verifica che i filtri di mirroring dei pacchetti non siano troppo ampi o troppo ristretti. Puoi aver configurato involontariamente filtri per includere o escludere determinati traffico.
Se hai configurato un criterio di mirroring dei pacchetti per raccogliere il traffico IPv6, assicurati che le origini del traffico sottoposto a mirroring siano VM dual-stack collegate a sottoreti dual-stack.