Menggunakan Duplikasi Paket
Anda dapat menggunakan Duplikasi Paket untuk menduplikat traffic ke dan dari instance virtual machine (VM) tertentu. Traffic yang dikumpulkan dapat membantu Anda mendeteksi ancaman keamanan dan memantau performa aplikasi. Untuk mengetahui detail tentang Duplikasi Paket, lihat Duplikasi Paket.
Traffic yang diduplikat dikirim ke VM yang telah diinstal software yang sesuai. Untuk mengetahui daftar vendor yang menyediakan software, lihat Penyedia partner Duplikasi Paket.
Bagian berikut menjelaskan cara membuat dan mengelola kebijakan duplikasi paket.
Batasan
Duplikasi Paket tidak dapat menduplikat paket untuk traffic Layanan yang dipublikasikan Private Service Connect.
Untuk alasan keamanan, Duplikasi Paket tidak menduplikasi paket yang dikirim ke rentang alamat IP link-local
169.254.0.0/16
. Rentang ini mencakup permintaan metadata dari VM ke server metadata-nya.Penggunaan Layanan LoadBalancer Google Kubernetes Engine (GKE) sebagai kolektor duplikasi paket tidak didukung.
Jika kebijakan duplikasi paket diterapkan untuk instance kolektor, Duplikasi Paket akan mengabaikannya dan tidak menduplikat traffic-nya.
Sebelum memulai
Sebelum membuat kebijakan duplikasi paket, Anda harus memiliki izin yang sesuai. Anda juga harus membuat Load Balancer Jaringan passthrough internal yang berfungsi sebagai tujuan kolektor. Load Balancer Jaringan passthrough internal ini memerlukan grup instance agar layanan backend-nya dapat menggunakan VM sebagai tujuan kolektor.
Izin
Untuk membuat dan mengelola kebijakan duplikasi paket, Google Cloud menyediakan dua peran yang terkait dengan Duplikasi Paket:
compute.packetMirroringUser
memberi pengguna izin untuk membuat, memperbarui, dan menghapus kebijakan duplikasi paket. Untuk menggunakan Duplikasi Paket, pengguna harus memiliki peran ini dalam project tempat mereka membuat kebijakan duplikasi paket.compute.packetMirroringAdmin
memberi pengguna izin untuk menduplikat resource tertentu. Meskipun memiliki izin untuk membuat kebijakan duplikasi paket, pengguna tetap memerlukan izin untuk menduplikat sumber terkait. Gunakan peran ini dalam project yang pemilik kebijakannya mungkin tidak memiliki izin lain, misalnya, dalam skenario VPC Bersama.
Untuk mengetahui informasi selengkapnya tentang penggunaan peran IAM, baca bagian Mengelola akses ke project, folder, dan organisasi dalam dokumentasi IAM.
Membuat instance kolektor
Duplikasi Paket memerlukan grup instance dari instance kolektor. Untuk mengetahui detail tentang grup instance, lihat dokumentasi berikut: Membuat template instance baru dan Membuat MIG dalam satu zona.
Membuat load balancer internal untuk Duplikasi Paket
Untuk mengaktifkan Duplikasi Paket, Anda harus memiliki Load Balancer Jaringan passthrough internal yang dapat berfungsi sebagai kolektor duplikasi paket. Load Balancer Jaringan passthrough internal harus memenuhi persyaratan berikut:
- Aturan penerusan Load Balancer Jaringan passthrough internal harus mengaktifkan Duplikasi Paket saat aturan dibuat. Status ini tidak dapat diubah setelah aturan dibuat. Anda dapat menggunakan aturan penerusan ini untuk mengumpulkan traffic IPv4 dan IPv6.
- Load Balancer Jaringan passthrough internal berada di region yang sama dengan instance yang Anda duplikasi.
- Layanan backend Load Balancer Jaringan passthrough internal harus menggunakan afinitas sesi
NONE
(hash 5 tuple). - Layanan backend Load Balancer Jaringan passthrough internal harus menonaktifkan subsetelan backend.
Jika instance kolektor Anda tidak diatur untuk merespons health check yang telah Anda konfigurasikan dengan layanan backend, maka health check bisa saja gagal. Dalam hal ini, paket masih dapat diduplikat.
Untuk mengetahui informasi selengkapnya tentang cara membuat Load Balancer Jaringan passthrough internal untuk Duplikasi Paket, baca Membuat load balancer untuk Duplikasi Paket.
Mengonfigurasi aturan firewall
Guna menyiapkan jaringan VPC Anda untuk traffic Duplikasi Paket, lakukan hal berikut:
Pastikan instance kolektor dalam grup instance load balancer dapat menerima traffic dari instance yang diduplikasi atau dari rentang alamat IPv4 dan IPv6 instance yang diduplikasi. Misalnya, untuk mengizinkan instance kolektor menerima traffic IPv4 dari VM mana pun, buat aturan firewall dengan rentang alamat IPv4 sumber
0.0.0.0/0
. Untuk mengizinkan instance kolektor menerima traffic IPv6 dari VM apa pun, buat aturan firewall dengan rentang alamat IPv6 sumber::/0
. Untuk mencegah traffic internet menjangkau instance kolektor, hanya tetapkan alamat IPv4 dan IPv6 internal ke instance kolektor tersebut.Pastikan tidak ada aturan firewall lain yang menggantikan aturan traffic keluar tersirat, sehingga traffic yang diduplikat dapat mengalir dari instance sumber ke instance tujuan yang merupakan bagian dari Load Balancer Jaringan passthrough internal.
Pastikan instance kolektor dapat menerima traffic dari sistem health check Google Cloud. Misalnya, untuk traffic IPv4, buat aturan firewall yang mengizinkan traffic ke instance kolektor dari rentang alamat IPv4
130.211.0.0/22
dan35.191.0.0/16
. Untuk traffic IPv6, buat aturan firewall yang mengizinkan traffic ke instance kolektor dari rentang alamat IPv62600:2d00:1:b029::/64
.Jika Anda ingin menguji Duplikasi Paket dengan mengirim traffic keluar secara manual dari satu atau beberapa instance yang diduplikat, buat aturan firewall yang mengizinkan traffic SSH ke instance tersebut. Misalnya, untuk mengizinkan koneksi SSH ke instance yang diduplikasi dari semua alamat IPv4 dan IPv6, izinkan traffic
TCP
masuk ke port22
dari alamat IPv4 dan IPv6 sumber mana pun. Jika Anda hanya ingin mengizinkan koneksi SSH yang dimulai dari rentang alamat IPv4 atau IPv6 tertentu, tentukan rentang alamat IPv4 atau IPv6 tersebut sebagai rentang sumber untuk aturan firewall. Untuk informasi selengkapnya tentang menguji Load Balancer Jaringan passthrough internal Anda, lihat Menguji load balancing.
Jika Anda belum memiliki aturan yang mengizinkan traffic ini, baca artikel Menggunakan aturan firewall VPC untuk membuat aturan tersebut. Untuk mengetahui informasi selengkapnya mengenai pembuatan aturan firewall untuk Load Balancer Jaringan passthrough internal, baca bagian Mengonfigurasi aturan firewall dalam dokumentasi Cloud Load Balancing.
Membuat kebijakan duplikasi paket
Untuk mulai menduplikat traffic ke dan dari instance tertentu, buat kebijakan duplikasi paket. Google Cloud menduplikat instance apa pun yang cocok dengan setidaknya salah satu sumber yang Anda tentukan.
Konsol
Di konsol Google Cloud, buka halaman Packet Mirroring.
Klik Create policy.
Masukkan informasi berikut tentang kebijakan, lalu klik Continue.
- Masukkan nama untuk kebijakan.
- Pilih region yang menyertakan sumber yang diduplikat dan tujuan kolektor. Kebijakan duplikasi paket harus berada di region yang sama dengan sumber dan tujuan.
- Abaikan kolom Priority. Saat ini tidak dapat disesuaikan.
- Pilih Enabled untuk mengaktifkan kebijakan saat Anda membuatnya.
Pilih jaringan VPC tempat sumber yang diduplikat dan tujuan kolektor berada, lalu klik Continue.
Sumber dan tujuan dapat berada di jaringan VPC yang sama atau berbeda.
- Jika berada di jaringan VPC yang sama, pilih Mirrored sources and destination are in the same VPC network, lalu pilih jaringannya.
- Jika berada di jaringan yang berbeda, pilih Mirrored source and collector destination are in separate, peered VPC networks, lalu pilih jaringan sumber yang diduplikat, lalu jaringan tujuan kolektor.
Pilih sumber yang diduplikat, lalu klik Continue. Anda dapat memilih satu atau beberapa sumber. Google Cloud menduplikat instance apa pun yang cocok dengan setidaknya salah satu sumber yang Anda pilih.
- Subnet: pilih satu subnetwork atau lebih. Google Cloud menduplikat instance yang ada dan yang akan datang di subnet yang dipilih.
- Tag jaringan: menentukan satu atau beberapa tag jaringan. Google Cloud menduplikat instance yang memiliki setidaknya salah satu tag yang ditentukan.
- Nama instance: memilih instance tertentu untuk diduplikat.
Pilih Load Balancer Jaringan passthrough internal yang telah dikonfigurasi untuk Duplikasi Paket, lalu klik Continue. Google Cloud mengirimkan traffic yang diduplikat ke instance yang berada di belakang Load Balancer Jaringan passthrough internal.
Untuk VPC Bersama, jika tujuan kolektor dan sumber yang diduplikat berada di jaringan VPC Bersama yang sama, Anda harus memilih project tempat tujuan kolektor berada, lalu pilih load balancer.
Untuk memilih traffic yang akan diduplikasi, lakukan tindakan berikut:
- Untuk menduplikasi semua traffic IPv4, pilih Duplikasi semua traffic IPv4 (default).
- Untuk menduplikasi semua traffic IPv4 dan IPv6, pilih
Mirror filtered traffic, lalu lakukan tindakan berikut:
- Pilih Izinkan semua protokol.
- Pilih Allow all IPv4 ranges (0.0.0.0/0).
- Pilih Izinkan semua rentang IPv6 (::/0).
- Pilih Izinkan traffic masuk dan keluar.
Untuk membatasi traffic yang diduplikasi, pilih Mirror filtered traffic, lalu lakukan tindakan berikut:
Untuk membatasi traffic yang diduplikasi menurut protokol, pilih Izinkan protokol tertentu, lalu pilih protokol. Jika Anda tidak melihat protokol yang ingin Anda cerminkan traffic-nya, pilih Other protocols, lalu masukkan protokol di kolom Other protocols. Nilai yang valid adalah
tcp
,udp
,esp
,ah
,ipip
,sctp
, atau nomor protokol IANA. Untuk menentukan ICMP untuk IPv6, masukkan58
.Untuk filter rentang IPv4, lakukan hal berikut:
- Untuk mencerminkan semua traffic IPv4, pilih Izinkan semua rentang IPv4 (0.0.0.0/0).
- Untuk menduplikasi traffic untuk rentang alamat IPv4 tertentu, pilih Izinkan rentang IPv4 tertentu. Di kolom Rentang IPv4, ketik satu rentang alamat IPv4, lalu tekan Enter. Anda dapat menambahkan beberapa rentang IPv4 dengan menekan Enter setelah setiap rentang yang Anda ketik.
Untuk filter rentang IPv6, lakukan hal berikut:
- Untuk memfilter semua traffic IPv6, pilih None.
- Untuk mencerminkan semua traffic IPv6, pilih Izinkan semua rentang IPv6 (::/0).
- Untuk menduplikasi traffic untuk rentang alamat IPv6 tertentu, pilih Izinkan rentang IPv6 tertentu. Di kolom IPv6 ranges, ketik satu rentang alamat IPv6, lalu tekan Enter. Anda dapat menambahkan beberapa rentang IPv6 dengan menekan Enter setelah setiap rentang yang Anda ketik.
Pilih Traffic direction dari traffic yang ingin Anda duplikat.
Untuk membuat kebijakan duplikasi paket, klik Submit.
gcloud
Untuk membuat kebijakan duplikasi paket, gunakan
perintah packet-mirrorings create
.
gcloud compute packet-mirrorings create POLICY_NAME \ --region=REGION \ --network=NETWORK_NAME \ --collector-ilb=FORWARDING_RULE_NAME \ [--mirrored-subnets=SUBNET,[SUBNET,...]] \ [--mirrored-tags=TAG,[TAG,...]] \ [--mirrored-instances=INSTANCE,[INSTANCE,...]] \ [--filter-cidr-ranges=CIDR_RANGE,[CIDR_RANGE,...]] \ [--filter-protocols=PROTOCOL,[PROTOCOL,...]] \ [--filter-direction=DIRECTION]
Ganti kode berikut:
POLICY_NAME
: nama kebijakan duplikasi paket.REGION
: region tempat sumber yang diduplikat dan tujuan kolektor berada.NETWORK_NAME
: jaringan tempat sumber yang diduplikat berada.FORWARDING_RULE_NAME
: nama aturan penerusan yang dikonfigurasi sebagai kolektor duplikasi. Google Cloud mengirimkan semua traffic yang diduplikat ke Load Balancer Jaringan passthrough internal terkait.SUBNET
: nama satu atau beberapa subnet untuk diduplikat. Anda dapat memberikan beberapa subnet menggunakan daftar yang dipisahkan koma. Google Cloud menduplikat instance yang ada dan yang akan datang di subnet.TAG
: satu atau beberapa tag jaringan. Google Cloud menduplikat instance yang memiliki tag jaringan. Anda dapat memasukkan beberapa tag menggunakan daftar yang dipisahkan koma.INSTANCE
: ID yang memenuhi syarat sepenuhnya dari satu atau beberapa instance untuk diduplikat. Anda dapat memberikan beberapa instance menggunakan daftar yang dipisahkan koma.CIDR_RANGE
: satu atau beberapa rentang CIDR IPv4 atau IPv6 untuk diduplikasi. Jika tidak ada rentang CIDR yang ditentukan, semua traffic IPv4 yang cocok dengan protokol yang ditentukan akan diduplikasi. Jika rentang CIDR atau protokol tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk mencerminkan semua traffic IPv4 dan IPv6, gunakan0.0.0.0/0,::/0
. Anda dapat menyertakan rentang CIDR IPv4 dan IPv6. Anda dapat memberikan beberapa rentang menggunakan daftar yang dipisahkan koma.PROTOCOL
: satu atau beberapa protokol yang akan diduplikasi. Nilai yang valid adalahtcp
,udp
,icmp
,esp
,ah
,ipip
,sctp
, atau Nomor protokol IANA. Jika tidak ada protokol yang ditentukan, semua traffic yang cocok dengan rentang CIDR yang ditentukan akan diduplikasi. Jika protokol atau rentang CIDR tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk menentukan ICMP untuk IPv6, gunakan58
. Anda dapat menyediakan beberapa protokol menggunakan daftar yang dipisahkan koma.DIRECTION
: rute traffic yang akan diduplikat secara relatif terhadap VM. Secara default, parameter ini ditetapkan keboth
, yang berarti traffic masuk dan keluar akan diduplikat. Anda dapat membatasi paket mana yang diambil dengan menentukaningress
untuk hanya mengambil paket masuk atauegress
untuk hanya mengambil paket keluar.
Terraform
Anda dapat menggunakan resource Terraform untuk membuat kebijakan duplikasi paket.
Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.
API
Untuk membuat kebijakan duplikasi paket, buat permintaan POST
ke
metode packetMirrorings.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings { "name": "POLICY_NAME", "enable": "ENABLED", "network": { "url": "NETWORK_URL" }, "priority": PRIORITY, "mirroredResources": { "subnetworks": [ { "url": "SUBNET_URL" } ], "tags": [ "TAG" ], "instances": [ { "url": "INSTANCE" } ] }, "collectorIlb": { "url": "FORWARDING_RULE_URL" }, "filter": { "IPProtocols": [ "PROTOCOL" ], "cidrRanges": [ "CIDR_RANGE" ], "direction": "DIRECTION" } }
Ganti kode berikut:
PROJECT_ID
: ID project untuk membuat kebijakan.REGION
: region tempat sumber yang diduplikat dan tujuan kolektor berada.POLICY_NAME
: nama kebijakan duplikasi paket.ENABLED
: untuk mengetahui apakah kebijakan ini berlaku atau tidak. Opsinya adalahTRUE
danFALSE
.TRUE
adalah defaultnya.NETWORK_URL
: URL jaringan tempat sumber yang diduplikat berada.PRIORITY
: prioritas aturan penerusan, yang digunakan untuk memutus ikatan jika ada lebih dari satu aturan yang cocok. Rentang yang valid adalah 0 hingga 65.535, dan default-nya adalah 1.000.SUBNET_URL
: URL subnet yang akan diduplikat. Google Cloud menduplikat instance yang ada dan yang akan datang di subnet. Anda dapat menyediakan beberapa subnet menggunakan daftar yang dipisahkan koma.TAG
: tag jaringan. Google Cloud menduplikat instance yang memiliki tag jaringan. Anda dapat memasukkan beberapa tag dengan menggunakan daftar yang dipisahkan koma.INSTANCE
: ID instance yang memenuhi syarat sepenuhnya untuk diduplikat. Anda dapat memberikan beberapa instance menggunakan daftar yang dipisahkan koma.FORWARDING_RULE_URL
: URL aturan penerusan yang dikonfigurasi sebagai kolektor duplikasi. Google Cloud mengirimkan semua traffic yang diduplikat ke Load Balancer Jaringan passthrough internal terkait.PROTOCOL
: satu atau beberapa protokol. Opsi adalahtcp
,udp
,icmp
,esp
,ah
,ipip
,sctp
, atau nomor protokol IANA. Jika tidak ada protokol yang ditentukan, semua traffic yang cocok dengan rentang CIDR yang ditentukan akan diduplikasi. Jika rentang CIDR atau protokol tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk menentukan ICMP untuk IPv6, masukkan58
. Anda dapat memberikan beberapa protokol menggunakan formulir berikut:"icmp", "udp"
.CIDR_RANGE
: satu atau beberapa rentang CIDR IPv4 atau IPv6 untuk diduplikasi. Jika tidak ada rentang CIDR yang ditentukan, semua traffic IPv4 yang cocok dengan protokol yang ditentukan akan diduplikasi. Jika rentang CIDR atau protokol tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk mencerminkan semua traffic IPv4 dan IPv6, gunakan"0.0.0.0/0", "::/0"
. Anda dapat menyertakan rentang CIDR IPv4 dan IPv6. Anda dapat memberikan beberapa rentang CIDR menggunakan formulir berikut:"192.0.2.0/24", "2001:0DB8::/32"
.PROTOCOL
: satu atau beberapa protokol yang akan diduplikasi.DIRECTION
: rute traffic yang akan diduplikat. Opsinya adalahINGRESS
,EGRESS
, atauBOTH
. Defaultnya adalahBOTH
.
Memverifikasi duplikasi paket
Untuk memverifikasi bahwa instance kolektor Anda menerima traffic yang diduplikat dengan benar, Anda dapat menggunakan tcpdump
.
Jika perintah
tcpdump
tidak tersedia, instal terlebih dulu.Identifikasi antarmuka jaringan Anda:
ip address
Dalam daftar antarmuka jaringan, temukan nama yang terkait dengan alamat IPv4 internal utama instance kolektor Anda, misalnya
ens4
.Mulai analisis paket:
sudo tcpdump -i INTERFACE_NAME -f "host IP_ADDRESS"
Ganti kode berikut:
INTERFACE_NAME
: nama antarmuka yang Anda identifikasi di langkah 3.IP_ADDRESS
: alamat IPv4 VM sumber yang diduplikasi.
Untuk menjalankan pengujian, kirim traffic dari VM sumber yang diduplikat, misalnya, dengan mengirim ping
ICMP
. Dalam outputtcpdump
, pastikan Anda dapat melihat traffic yang diharapkan.
Mengubah kebijakan duplikasi paket
Anda dapat memperbarui kebijakan yang ada untuk mengubah detail seperti sumber yang diduplikat atau tujuan kolektor.
Konsol
Di konsol Google Cloud, buka halaman Packet Mirroring.
Dari daftar kebijakan duplikasi paket, klik kebijakan yang ingin Anda edit.
Di halaman detail kebijakan, klik Edit.
Edit kolom yang ingin Anda perbarui. Konsol mengikuti alur yang sama dengan langkah-langkah saat Anda membuat kebijakan. Untuk informasi tentang setiap kolom, lihat Membuat kebijakan duplikasi paket.
gcloud
Untuk memperbarui kebijakan duplikasi paket yang ada, gunakan
perintah packet-mirrorings update
.
gcloud compute packet-mirrorings update POLICY_NAME [--async] \ [--collector-ilb=FORWARDING_RULE_NAME] [--description=DESCRIPTION] [--enable] \ [--filter-direction=DIRECTION] [--region=REGION] \ [--add-filter-cidr-ranges=[CIDR_RANGE,...] | --clear-filter-cidr-ranges \ | --remove-filter-cidr-ranges=[CIDR_RANGE,...] \ | --set-filter-cidr-ranges=[CIDR_RANGE,...]] \ [--add-filter-protocols=[PROTOCOL,...] | --clear-filter-protocols \ | --remove-filter-protocols=[PROTOCOL,...] \ | --set-filter-protocols=[PROTOCOL,...]] \ [--add-mirrored-instances=[INSTANCE,...] | --clear-mirrored-instances \ | --remove-mirrored-instances=[INSTANCE,...] \ | --set-mirrored-instances=[INSTANCE,...]] \ [--add-mirrored-subnets=[SUBNET,...] | --clear-mirrored-subnets \ | --remove-mirrored-subnets=[SUBNET,...] \ | --set-mirrored-subnets=[SUBNET,...]] \ [--add-mirrored-tags=[TAG,...] | --clear-mirrored-tags \ | --remove-mirrored-tags=[TAG,...] | --set-mirrored-tags=[TAG,...]]
Ganti kode berikut:
POLICY_NAME
: nama kebijakan duplikasi paket yang akan diubah.FORWARDING_RULE_NAME
: nama aturan penerusan yang dikonfigurasi sebagai kolektor. Google Cloud mengirimkan semua traffic yang diduplikat ke Load Balancer Jaringan passthrough internal terkait.DESCRIPTION
: deskripsi kebijakan duplikasi paket.DIRECTION
: rute traffic tempat kebijakan duplikasi paket diterapkan. Opsinya adalahegress
,ingress
, atauboth
.REGION
: region tempat kebijakan berada.CIDR_RANGE
: satu atau beberapa rentang CIDR IPv4 atau IPv6 yang akan diduplikasi. Jika tidak ada rentang CIDR yang ditentukan, semua traffic IPv4 yang cocok dengan protokol yang ditentukan akan diduplikasi. Jika rentang CIDR atau protokol tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk mencerminkan semua traffic IPv4 dan IPv6, gunakan0.0.0.0/0,::/0
. Anda dapat menyertakan rentang CIDR IPv4 dan IPv6. Anda dapat memberikan beberapa rentang menggunakan daftar yang dipisahkan koma.PROTOCOL
: satu atau beberapa protokol yang akan diduplikasi. Nilai yang valid adalahtcp
,udp
,icmp
,esp
,ah
,ipip
,sctp
, atau Nomor protokol IANA. Jika tidak ada protokol yang ditentukan, traffic yang cocok dengan rentang CIDR yang ditentukan akan diduplikasi. Jika protokol atau rentang CIDR tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk menentukan ICMP untuk IPv6, gunakan58
. Anda dapat menyediakan beberapa protokol menggunakan daftar yang dipisahkan koma.INSTANCE
: ID yang sepenuhnya memenuhi syarat dari satu atau beberapa instance VM untuk diduplikat. Anda dapat memberikan beberapa instance menggunakan daftar yang dipisahkan koma.SUBNET
: satu atau beberapa subnetwork. Anda dapat menyediakan beberapa subnetwork menggunakan daftar yang dipisahkan koma. Google Cloud menduplikat instance yang ada dan yang akan datang di subnet.TAG
: satu atau beberapa tag jaringan. Anda dapat memasukkan beberapa tag menggunakan daftar yang dipisahkan koma.
API
Untuk memperbarui kebijakan duplikasi paket, buat permintaan POST
ke
metode packetMirrorings.patch
.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME { "name": "POLICY_NAME", "description": "DESCRIPTION", "priority": "PRIORITY", "collectorIlb": { "url": "FORWARDING_RULE_URL" }, "mirroredResources": { "subnetworks": [ { "url": "SUBNET_URL" } ], "instances": [ { "url": "INSTANCE_URL" } ], "tags": [ "NETWORK_TAGS" ] }, "filter": { "cidrRanges": [ "CIDR_RANGE" ], "IPProtocols": [ "PROTOCOL" ], "direction": "DIRECTION" }, "enable": "ENABLED" }
Ganti kode berikut:
PROJECT_ID
: ID project tempat kebijakan berada.REGION
: region kebijakan duplikasi paket.POLICY_NAME
: nama kebijakan duplikasi paket yang akan diubah.DESCRIPTION
: deskripsi opsional untuk kebijakan.PRIORITY
: prioritas kebijakan, yang digunakan untuk memutuskan ikatan jika ada beberapa kebijakan yang cocok. Nilai defaultnya adalah 1.000. Rentang yang valid adalah 0 hingga 65.535.FORWARDING_RULE_URL
: URL aturan penerusan dengan Duplikasi Paket yang diaktifkan. Google Cloud mengirimkan semua traffic yang diduplikat ke Load Balancer Jaringan passthrough internal terkait.SUBNET_URL
: URL subnetwork. Google Cloud menduplikat instance yang ada dan yang akan datang di subnet. Anda dapat memberikan beberapa subnetwork menggunakan daftar yang dipisahkan koma.INSTANCE_URL
: URL instance VM yang akan diduplikat. Anda dapat memberikan beberapa instance menggunakan daftar yang dipisahkan koma.NETWORK_TAGS
: tag jaringan. Google Cloud menduplikat instance yang memiliki satu atau beberapa tag jaringan. Anda dapat memasukkan beberapa tag menggunakan daftar yang dipisahkan koma.CIDR_RANGE
: satu atau beberapa rentang CIDR IPv4 atau IPv6 yang akan diduplikasi. Jika tidak ada rentang CIDR yang ditentukan, semua traffic IPv4 yang cocok dengan protokol yang ditentukan akan diduplikasi. Jika rentang CIDR atau protokol tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk mencerminkan semua traffic IPv4 dan IPv6, gunakan"0.0.0.0/0", "::/0"
. Anda dapat menyertakan rentang CIDR IPv4 dan IPv6. Anda dapat memberikan beberapa rentang CIDR menggunakan formulir berikut:"192.0.2.0/24", "2001:DB8::/32"
.IP_PROTOCOL
: satu atau beberapa protokol. Opsi adalahtcp
,udp
,icmp
,esp
,ah
,ipip
,sctp
, atau nomor protokol IANA. Jika tidak ada protokol yang ditentukan, semua traffic yang cocok dengan rentang CIDR yang ditentukan akan diduplikasi. Jika rentang CIDR atau protokol tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk menentukan ICMP untuk IPv6, gunakan58
. Anda dapat memberikan beberapa protokol menggunakan formulir berikut:"icmp", "udp"
.DIRECTION
: rute traffic yang akan diduplikat. Opsinya adalahINGRESS
,EGRESS
, atauBOTH
. Defaultnya adalahBOTH
.ENABLED
: menunjukkan apakah kebijakan diaktifkan atau tidak. Opsinya adalahTRUE
atauFALSE
.
Menampilkan daftar kebijakan duplikasi paket
Anda dapat menampilkan kebijakan duplikasi paket untuk melihat kebijakan yang ada.
Konsol
Di konsol Google Cloud, buka halaman Packet Mirroring.
Konsol Google Cloud mencantumkan semua kebijakan dalam project Anda.
gcloud
Untuk mencantumkan kebijakan duplikasi paket yang ada di project Anda atau untuk
region tertentu, gunakan
perintah packet-mirrorings list
.
gcloud compute packet-mirrorings list \ [--filter="region:(REGION...)"]
Ganti REGION
dengan nama region yang berisi kebijakan yang akan dicantumkan.
API
Untuk mencantumkan kebijakan duplikasi paket yang ada dalam project Anda, buat permintaan GET
ke
metode packetMirrorings.list
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/packetMirrorings
Ganti PROJECT_ID
dengan ID project Anda.
Untuk mencantumkan kebijakan duplikasi paket yang ada bagi region tertentu, buat
permintaan GET
ke
metode packetMirrorings.list
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings
Ganti kode berikut:
PROJECT_ID
: ID project yang berisi kebijakan yang akan dicantumkan.REGION
: region yang berisi kebijakan yang akan dicantumkan.
Menjelaskan kebijakan duplikasi paket
Anda dapat menjelaskan kebijakan duplikasi paket untuk melihat detail seperti filter kebijakan.
Konsol
Di konsol Google Cloud, buka halaman Packet Mirroring.
Dari daftar kebijakan duplikasi paket, pilih kebijakan yang ingin Anda lihat. Konsol Google Cloud menampilkan detail kebijakan yang Anda pilih.
gcloud
Untuk mendeskripsikan kebijakan duplikasi paket, gunakan
perintah packet-mirrorings describe
.
gcloud compute packet-mirrorings describe POLICY_NAME \ --region=REGION \
Ganti kode berikut:
POLICY_NAME
: nama kebijakan duplikasi paket yang akan dijelaskan.REGION
: region tempat kebijakan berada.
API
Untuk mendeskripsikan kebijakan duplikasi paket, buat permintaan GET
ke
metode packetMirrorings.get
.
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
Ganti kode berikut:
PROJECT_ID
: ID project tempat kebijakan berada.REGION
: region tempat kebijakan berada.POLICY_NAME
: nama kebijakan duplikasi paket yang akan dijelaskan.
Menonaktifkan atau mengaktifkan kebijakan duplikasi paket
Anda dapat menonaktifkan atau mengaktifkan kebijakan duplikasi paket untuk menghentikan atau mulai mengumpulkan traffic yang diduplikat.
Konsol
Di konsol Google Cloud, buka halaman Packet Mirroring.
Dari daftar kebijakan duplikasi paket, pilih kebijakan yang akan dinonaktifkan atau diaktifkan.
Klik Disable atau Enable.
Konfirmasi dengan mengklik Disable atau Enable.
gcloud
Untuk menonaktifkan kebijakan duplikasi paket, gunakan
perintah packet-mirrorings update
.
gcloud compute packet-mirrorings update POLICY_NAME \ --region=REGION \ --no-enable
Ganti kode berikut:
POLICY_NAME
: nama kebijakan duplikasi paket yang akan dinonaktifkan atau diaktifkan.REGION
: region tempat kebijakan berada.
Untuk mengaktifkan kebijakan duplikasi paket, gunakan
perintah packet-mirrorings update
.
gcloud compute packet-mirrorings update POLICY_NAME \ --region=REGION \ --enable
Ganti kode berikut:
POLICY_NAME
: nama kebijakan duplikasi paket yang akan dinonaktifkan atau diaktifkan.REGION
: region tempat kebijakan berada.
API
Untuk menonaktifkan atau mengaktifkan kebijakan duplikasi paket yang ada, buat permintaan PATCH
ke metode packetMirrorings.patch
.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME { "enable": "FALSE|TRUE" }
Ganti kode berikut:
PROJECT_ID
: ID project tempat kebijakan berada.REGION
: region tempat kebijakan berada.POLICY_NAME
: nama kebijakan duplikasi paket yang akan dinonaktifkan.
Menghapus kebijakan duplikasi paket
Anda dapat menghapus kebijakan duplikasi paket untuk menghapusnya dari project Anda. Setelah Anda menghapus kebijakan, Google Cloud akan berhenti menduplikat semua traffic yang terkait dengan kebijakan tersebut.
Konsol
Di konsol Google Cloud, buka halaman Packet Mirroring.
Dari daftar kebijakan duplikasi paket, pilih kebijakan yang ingin Anda hapus.
Klik Delete.
Konfirmasi dengan mengklik Delete.
gcloud
Untuk menghapus kebijakan duplikasi paket, gunakan
perintah packet-mirrorings delete
.
gcloud compute packet-mirrorings delete POLICY_NAME \ --region=REGION \
Ganti kode berikut:
POLICY_NAME
: nama kebijakan duplikasi paket yang akan dihapus.REGION
: region tempat kebijakan berada.
API
Untuk menghapus kebijakan duplikasi paket, buat permintaan DELETE
ke metode packetMirrorings.delete
.
DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
Ganti kode berikut:
PROJECT_ID
: ID project tempat kebijakan berada.POLICY_NAME
: nama kebijakan duplikasi paket yang akan dihapus.REGION
: region tempat kebijakan berada.
Pemecahan masalah
Jika kebijakan duplikasi paket tidak mengumpulkan traffic duplikasi yang diinginkan, periksa konfigurasi berikut:
Pastikan Anda memiliki aturan firewall yang mengizinkan traffic dari instance yang diduplikat ke instance kolektor.
Periksa apakah sumber yang diduplikat menyertakan atau mengecualikan instance yang akan diduplikat. Misalnya, jika Anda menentukan subnet sebagai sumber yang diduplikat, semua instance yang ada dan yang akan datang di subnet akan diduplikat. Jika Anda menentukan tag, hanya instance yang memiliki tag yang cocok yang akan diduplikat.
Periksa apakah filter duplikasi paket tidak terlalu luas atau terlalu terbatas. Anda mungkin tidak sengaja mengonfigurasi filter untuk menyertakan atau mengecualikan traffic tertentu.
Jika Anda telah mengonfigurasi kebijakan duplikasi paket untuk mengumpulkan traffic IPv6, pastikan sumber traffic duplikat adalah VM dual-stack yang terhubung ke subnet dual-stack.