Menggunakan Duplikasi Paket

Anda dapat menggunakan Duplikasi Paket untuk menduplikat traffic ke dan dari instance virtual machine (VM) tertentu. Traffic yang dikumpulkan dapat membantu Anda mendeteksi ancaman keamanan dan memantau performa aplikasi. Untuk mengetahui detail tentang Duplikasi Paket, lihat Duplikasi Paket.

Traffic yang diduplikat dikirim ke VM yang telah diinstal software yang sesuai. Untuk mengetahui daftar vendor yang menyediakan software, lihat Penyedia partner Duplikasi Paket.

Bagian berikut menjelaskan cara membuat dan mengelola kebijakan duplikasi paket.

Batasan

  • Duplikasi Paket tidak dapat menduplikat paket untuk traffic Layanan yang dipublikasikan Private Service Connect.

  • Untuk alasan keamanan, Duplikasi Paket tidak menduplikasi paket yang dikirim ke rentang alamat IP link-lokal 169.254.0.0/16. Rentang ini mencakup permintaan metadata dari VM ke server metadatanya.

  • Penggunaan Layanan LoadBalancer Google Kubernetes Engine (GKE) sebagai kolektor duplikasi paket tidak didukung.

  • Jika kebijakan duplikasi paket diterapkan untuk instance kolektor, Duplikasi Paket akan mengabaikannya dan tidak menduplikat traffic-nya.

Sebelum memulai

Sebelum membuat kebijakan duplikasi paket, Anda harus memiliki izin yang sesuai. Anda juga harus membuat Load Balancer Jaringan passthrough internal yang berfungsi sebagai tujuan kolektor. Load Balancer Jaringan passthrough internal ini memerlukan grup instance agar layanan backend-nya dapat menggunakan VM sebagai tujuan kolektor.

Izin

Untuk membuat dan mengelola kebijakan duplikasi paket, Google Cloud menyediakan dua peran yang terkait dengan Duplikasi Paket:

  • compute.packetMirroringUser memberi pengguna izin untuk membuat, memperbarui, dan menghapus kebijakan duplikasi paket. Untuk menggunakan Duplikasi Paket, pengguna harus memiliki peran ini dalam project tempat mereka membuat kebijakan duplikasi paket.

  • compute.packetMirroringAdmin memberi pengguna izin untuk menduplikat resource tertentu. Meskipun memiliki izin untuk membuat kebijakan duplikasi paket, pengguna tetap memerlukan izin untuk menduplikat sumber terkait. Gunakan peran ini dalam project yang pemilik kebijakannya mungkin tidak memiliki izin lain, misalnya, dalam skenario VPC Bersama.

Untuk mengetahui informasi selengkapnya tentang penggunaan peran IAM, baca bagian Mengelola akses ke project, folder, dan organisasi dalam dokumentasi IAM.

Membuat instance kolektor

Duplikasi Paket memerlukan grup instance dari instance kolektor. Untuk mengetahui detail tentang grup instance, lihat dokumentasi berikut: Membuat template instance baru dan Membuat MIG dalam satu zona.

Membuat load balancer internal untuk Duplikasi Paket

Untuk mengaktifkan Duplikasi Paket, Anda harus memiliki Load Balancer Jaringan passthrough internal yang dapat berfungsi sebagai kolektor duplikasi paket. Load Balancer Jaringan passthrough internal harus memenuhi persyaratan berikut:

  • Aturan penerusan Load Balancer Jaringan passthrough internal harus mengaktifkan Duplikasi Paket saat aturan dibuat. Status ini tidak dapat diubah setelah aturan dibuat. Anda dapat menggunakan aturan penerusan ini untuk mengumpulkan traffic IPv4 dan IPv6.
  • Load Balancer Jaringan passthrough internal berada di region yang sama dengan instance yang Anda duplikasi.
  • Layanan backend Load Balancer Jaringan passthrough internal harus menggunakan afinitas sesi NONE (hash 5 tuple).
  • Layanan backend Load Balancer Jaringan passthrough internal harus menonaktifkan subsetelan backend.

Jika instance kolektor Anda tidak diatur untuk merespons health check yang telah Anda konfigurasikan dengan layanan backend, maka health check bisa saja gagal. Dalam hal ini, paket masih dapat diduplikat.

Untuk mengetahui informasi selengkapnya tentang cara membuat Load Balancer Jaringan passthrough internal untuk Duplikasi Paket, baca Membuat load balancer untuk Duplikasi Paket.

Mengonfigurasi aturan firewall

Guna menyiapkan jaringan VPC Anda untuk traffic Duplikasi Paket, lakukan hal berikut:

  • Pastikan instance kolektor dalam grup instance load balancer dapat menerima traffic dari instance yang diduplikasi atau dari rentang alamat IPv4 dan IPv6 dari instance yang diduplikasi. Misalnya, untuk mengizinkan instance kolektor menerima traffic IPv4 dari VM apa pun, buat aturan firewall dengan rentang alamat IPv4 sumber 0.0.0.0/0. Untuk mengizinkan instance kolektor menerima traffic IPv6 dari VM apa pun, buat aturan firewall dengan rentang alamat IPv6 sumber ::/0. Untuk mencegah traffic internet mencapai instance kolektor, tetapkan alamat IPv4 dan IPv6 internal saja ke dalamnya.

  • Pastikan tidak ada aturan firewall lain yang menggantikan aturan traffic keluar tersirat, sehingga traffic yang diduplikat dapat mengalir dari instance sumber ke instance tujuan yang merupakan bagian dari Load Balancer Jaringan passthrough internal.

  • Pastikan instance kolektor dapat menerima traffic dari sistem health check Google Cloud. Misalnya, untuk traffic IPv4, buat aturan firewall yang mengizinkan traffic ke instance kolektor dari rentang alamat IPv4 130.211.0.0/22 dan 35.191.0.0/16. Untuk traffic IPv6, buat aturan firewall yang mengizinkan traffic ke instance kolektor dari rentang alamat IPv6 2600:2d00:1:b029::/64.

  • Jika Anda ingin menguji Duplikasi Paket dengan mengirim traffic keluar secara manual dari satu atau beberapa instance yang diduplikat, buat aturan firewall yang mengizinkan traffic SSH ke instance tersebut. Misalnya, untuk mengizinkan koneksi SSH ke instance yang dicerminkan dari semua alamat IPv4 dan IPv6, izinkan traffic TCP masuk ke port 22 dari alamat IPv4 dan IPv6 sumber apa pun. Jika Anda hanya ingin mengizinkan koneksi SSH yang dimulai dari rentang alamat IPv4 atau IPv6 tertentu, tentukan rentang alamat IPv4 atau IPv6 tersebut sebagai rentang sumber untuk aturan firewall. Untuk informasi selengkapnya tentang menguji Load Balancer Jaringan passthrough internal Anda, lihat Menguji load balancing.

Jika Anda belum memiliki aturan yang mengizinkan traffic ini, baca artikel Menggunakan aturan firewall VPC untuk membuat aturan tersebut. Untuk mengetahui informasi selengkapnya mengenai pembuatan aturan firewall untuk Load Balancer Jaringan passthrough internal, baca bagian Mengonfigurasi aturan firewall dalam dokumentasi Cloud Load Balancing.

Membuat kebijakan duplikasi paket

Untuk mulai menduplikat traffic ke dan dari instance tertentu, buat kebijakan duplikasi paket. Google Cloud menduplikat instance apa pun yang cocok dengan setidaknya salah satu sumber yang Anda tentukan.

Konsol

  1. Di konsol Google Cloud, buka halaman Packet Mirroring.

    Buka Packet Mirroring

  2. Klik Create policy.

  3. Masukkan informasi berikut tentang kebijakan, lalu klik Continue.

    1. Masukkan nama untuk kebijakan.
    2. Pilih region yang menyertakan sumber yang diduplikat dan tujuan kolektor. Kebijakan duplikasi paket harus berada di region yang sama dengan sumber dan tujuan.
    3. Abaikan kolom Priority. Saat ini tidak dapat disesuaikan.
    4. Pilih Enabled untuk mengaktifkan kebijakan saat Anda membuatnya.

  4. Pilih jaringan VPC tempat sumber yang diduplikat dan tujuan kolektor berada, lalu klik Continue.

    Sumber dan tujuan dapat berada di jaringan VPC yang sama atau berbeda.

    • Jika berada di jaringan VPC yang sama, pilih Mirrored sources and destination are in the same VPC network, lalu pilih jaringannya.
    • Jika berada di jaringan yang berbeda, pilih Mirrored source and collector destination are in separate, peered VPC networks, lalu pilih jaringan sumber yang diduplikat, lalu jaringan tujuan kolektor.

  5. Pilih sumber yang diduplikat, lalu klik Continue. Anda dapat memilih satu atau beberapa sumber. Google Cloud menduplikat instance apa pun yang cocok dengan setidaknya salah satu sumber yang Anda pilih.

    • Subnet: pilih satu subnetwork atau lebih. Google Cloud menduplikat instance yang ada dan yang akan datang di subnet yang dipilih.
    • Tag jaringan: menentukan satu atau beberapa tag jaringan. Google Cloud menduplikat instance yang memiliki setidaknya salah satu tag yang ditentukan.
    • Nama instance: memilih instance tertentu untuk diduplikat.

  6. Pilih Load Balancer Jaringan passthrough internal yang telah dikonfigurasi untuk Duplikasi Paket, lalu klik Continue. Google Cloud mengirimkan traffic yang diduplikat ke instance yang berada di belakang Load Balancer Jaringan passthrough internal.

    Untuk VPC Bersama, jika tujuan kolektor dan sumber yang diduplikat berada di jaringan VPC Bersama yang sama, Anda harus memilih project tempat tujuan kolektor berada, lalu pilih load balancer.

  7. Untuk memilih traffic yang akan diduplikasi, lakukan hal berikut:

    • Untuk mencerminkan semua traffic IPv4, pilih Mirror all IPv4 traffic (default).
    • Untuk mencerminkan semua traffic IPv4 dan IPv6, pilih Mirror filter traffic, lalu lakukan hal berikut:
      • Pilih Allow all protocols.
      • Pilih Allow all IPv4 ranges (0.0.0.0/0).
      • Pilih Allow all IPv6 ranges (::/0).
      • Pilih Izinkan traffic masuk dan keluar.

    • Untuk membatasi traffic yang diduplikasi, pilih Duplikasi traffic yang difilter, lalu lakukan hal berikut:

      • Untuk membatasi traffic yang dicerminkan menurut protokol, pilih Allow specific protocol, lalu pilih protokol. Jika Anda tidak melihat protokol yang ingin Anda duplikasi trafficnya, pilih Other protocols, lalu masukkan protokol di kolom Other protocols. Nilai yang valid adalah tcp, udp, esp, ah, ipip, sctp, atau nomor protokol IANA. Untuk menentukan ICMP untuk IPv6, masukkan 58.

      • Untuk filter rentang IPv4, lakukan hal berikut:

        • Untuk mencerminkan semua traffic IPv4, pilih Allow all IPv4 ranges (0.0.0.0/0).
        • Untuk mencerminkan traffic untuk rentang alamat IPv4 tertentu, pilih Allow specific IPv4 ranges. Di kolom IPv4 ranges, ketik satu rentang alamat IPv4, lalu tekan Enter. Anda dapat menambahkan beberapa rentang IPv4 dengan menekan Enter setelah setiap rentang yang diketik.

      • Untuk Filter rentang IPv6, lakukan hal berikut:

        • Untuk memfilter semua traffic IPv6, pilih Tidak ada.
        • Untuk mencerminkan semua traffic IPv6, pilih Allow all IPv6 ranges (::/0).
        • Untuk mencerminkan traffic untuk rentang alamat IPv6 tertentu, pilih Allow specific IPv6 ranges. Di kolom IPv6 ranges, ketik satu rentang alamat IPv6, lalu tekan Enter. Anda dapat menambahkan beberapa rentang IPv6 dengan menekan Enter setelah setiap rentang yang diketik.

  8. Pilih Arah lalu lintas dari lalu lintas yang ingin Anda cerminkan.

  9. Untuk membuat kebijakan duplikasi paket, klik Submit.

gcloud

Untuk membuat kebijakan duplikasi paket, gunakan perintah packet-mirrorings create.

gcloud compute packet-mirrorings create POLICY_NAME \
    --region=REGION \
    --network=NETWORK_NAME \
    --collector-ilb=FORWARDING_RULE_NAME \
    [--mirrored-subnets=SUBNET,[SUBNET,...]] \
    [--mirrored-tags=TAG,[TAG,...]] \
    [--mirrored-instances=INSTANCE,[INSTANCE,...]] \
    [--filter-cidr-ranges=CIDR_RANGE,[CIDR_RANGE,...]] \
    [--filter-protocols=PROTOCOL,[PROTOCOL,...]] \
    [--filter-direction=DIRECTION]

Ganti kode berikut:

  • POLICY_NAME: nama kebijakan pencerminan paket.
  • REGION: region tempat sumber yang diduplikat dan tujuan kolektor berada.
  • NETWORK_NAME: jaringan tempat sumber yang diduplikat berada.
  • FORWARDING_RULE_NAME: nama aturan penerusan yang dikonfigurasi sebagai kolektor duplikasi. Google Cloud mengirimkan semua traffic yang diduplikat ke Load Balancer Jaringan passthrough internal terkait.
  • SUBNET: nama satu atau beberapa subnet untuk diduplikat. Anda dapat memberikan beberapa subnet menggunakan daftar yang dipisahkan koma. Google Cloud menduplikat instance yang ada dan yang akan datang di subnet.
  • TAG: satu atau beberapa tag jaringan. Google Cloud menduplikat instance yang memiliki tag jaringan. Anda dapat menyediakan beberapa tag dengan menggunakan daftar yang dipisahkan koma.
  • INSTANCE: ID yang memenuhi syarat sepenuhnya dari satu atau beberapa instance untuk diduplikat. Anda dapat menyediakan beberapa instance dengan menggunakan daftar yang dipisahkan koma.
  • CIDR_RANGE: satu atau beberapa rentang CIDR IPv4 atau IPv6 yang akan diduplikasi. Jika tidak ada rentang CIDR yang ditentukan, semua traffic IPv4 yang cocok dengan protokol yang ditentukan akan diduplikasi. Jika rentang CIDR atau protokol tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk mencerminkan semua traffic IPv4 dan IPv6, gunakan 0.0.0.0/0,::/0. Anda dapat menyertakan rentang CIDR IPv4 dan IPv6. Anda dapat memberikan beberapa rentang menggunakan daftar yang dipisahkan koma.
  • PROTOCOL: satu atau beberapa protokol untuk dicerminkan. Nilai yang valid adalah tcp, udp, icmp, esp, ah, ipip, sctp, atau nomor protokol IANA. Jika tidak ada protokol yang ditentukan, semua lalu lintas yang cocok dengan rentang CIDR yang ditentukan akan dicerminkan. Jika tidak ada protokol atau rentang CIDR yang ditentukan, semua traffic IPv4 akan dicerminkan. Untuk menentukan ICMP untuk IPv6, gunakan 58. Anda dapat menyediakan beberapa protokol dengan menggunakan daftar yang dipisahkan koma.
  • DIRECTION: rute traffic yang akan diduplikat secara relatif terhadap VM. Secara default, parameter ini ditetapkan ke both, yang berarti traffic masuk dan keluar akan diduplikat. Anda dapat membatasi paket mana yang diambil dengan menentukan ingress untuk hanya mengambil paket masuk atau egress untuk hanya mengambil paket keluar.

Terraform

Anda dapat menggunakan resource Terraform untuk membuat kebijakan duplikasi paket.

resource "google_compute_packet_mirroring" "default" {
  region      = "europe-west1"
  name        = "my-mirroring"
  description = "My packet mirror"
  network {
    url = google_compute_network.ilb_network.id
  }
  collector_ilb {
    url = google_compute_forwarding_rule.default.id
  }
  mirrored_resources {
    tags = ["foo"]
    instances {
      url = google_compute_instance.vm_test.id
    }
  }
  filter {
    ip_protocols = ["tcp"]
    cidr_ranges  = ["0.0.0.0/0"]
    direction    = "BOTH"
  }
}

Untuk mempelajari cara menerapkan atau menghapus konfigurasi Terraform, lihat Perintah dasar Terraform.

API

Untuk membuat kebijakan duplikasi paket, buat permintaan POST ke metode packetMirrorings.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings
{
  "name": "POLICY_NAME",
  "enable": "ENABLED",
  "network": {
    "url": "NETWORK_URL"
  },
  "priority": PRIORITY,
  "mirroredResources": {
    "subnetworks": [
      {
        "url": "SUBNET_URL"
      }
    ],
    "tags": [
      "TAG"
    ],
    "instances": [
      {
        "url": "INSTANCE"
      }
    ]
  },
  "collectorIlb": {
    "url": "FORWARDING_RULE_URL"
  },
  "filter": {
    "IPProtocols": [
      "PROTOCOL"
    ],
    "cidrRanges": [
      "CIDR_RANGE"
    ],
    "direction": "DIRECTION"
  }
}

Ganti kode berikut:

  • PROJECT_ID: ID project untuk membuat kebijakan.
  • REGION: region tempat sumber yang diduplikat dan tujuan kolektor berada.
  • POLICY_NAME: nama kebijakan pencerminan paket.
  • ENABLED: untuk mengetahui apakah kebijakan ini berlaku atau tidak. Opsinya adalah TRUE dan FALSE. TRUE adalah defaultnya.
  • NETWORK_URL: URL jaringan tempat sumber yang diduplikat berada.
  • PRIORITY: prioritas aturan penerusan, yang digunakan untuk memutus ikatan jika ada lebih dari satu aturan yang cocok. Rentang yang valid adalah 0 hingga 65.535, dan default-nya adalah 1.000.
  • SUBNET_URL: URL subnet yang akan diduplikat. Google Cloud menduplikat instance yang ada dan yang akan datang di subnet. Anda dapat menyediakan beberapa subnet dengan menggunakan daftar yang dipisahkan koma.
  • TAG: tag jaringan. Google Cloud menduplikat instance yang memiliki tag jaringan. Anda dapat memberikan beberapa tag dengan menggunakan daftar yang dipisahkan koma.
  • INSTANCE: ID instance yang memenuhi syarat sepenuhnya untuk diduplikat. Anda dapat memberikan beberapa instance menggunakan daftar yang dipisahkan koma.
  • FORWARDING_RULE_URL: URL aturan penerusan yang dikonfigurasi sebagai kolektor duplikasi. Google Cloud mengirimkan semua traffic yang diduplikat ke Load Balancer Jaringan passthrough internal terkait.
  • PROTOCOL: satu atau beberapa protokol. Opsinya adalah tcp, udp, icmp, esp, ah, ipip, sctp, atau nomor protokol IANA. Jika tidak ada protokol yang ditentukan, semua traffic yang cocok dengan rentang CIDR yang ditentukan akan dicerminkan. Jika rentang CIDR atau protokol tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk menentukan ICMP untuk IPv6, masukkan 58. Anda dapat menyediakan beberapa protokol dengan menggunakan bentuk berikut: "icmp", "udp".
  • CIDR_RANGE: satu atau beberapa rentang CIDR IPv4 atau IPv6 yang akan diduplikasi. Jika tidak ada rentang CIDR yang ditentukan, semua traffic IPv4 yang cocok dengan protokol yang ditentukan akan diduplikasi. Jika rentang CIDR atau protokol tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk mencerminkan semua traffic IPv4 dan IPv6, gunakan "0.0.0.0/0", "::/0". Anda dapat menyertakan rentang CIDR IPv4 dan IPv6. Anda dapat memberikan beberapa rentang CIDR menggunakan format berikut: "192.0.2.0/24", "2001:0DB8::/32".
  • PROTOCOL: satu atau beberapa protokol untuk dicerminkan.
  • DIRECTION: rute traffic yang akan diduplikat. Opsinya adalah INGRESS, EGRESS, atau BOTH. Defaultnya adalah BOTH.

Memverifikasi duplikasi paket

Untuk memverifikasi bahwa instance kolektor Anda menerima traffic yang diduplikat dengan benar, Anda dapat menggunakan tcpdump.

  1. Hubungkan ke instance kolektor.

  2. Jika perintah tcpdump tidak tersedia, instal terlebih dulu.

  3. Identifikasi antarmuka jaringan Anda:

    ip address

    Dalam daftar antarmuka jaringan, temukan nama yang terkait dengan alamat IPv4 internal utama instance kolektor Anda, misalnya, ens4.

  4. Mulai analisis paket:

    sudo tcpdump -i INTERFACE_NAME -f "host IP_ADDRESS"

    Ganti kode berikut:

    • INTERFACE_NAME: nama antarmuka yang Anda identifikasi di langkah 3.
    • IP_ADDRESS: alamat IPv4 dari VM sumber yang dicerminkan.

  5. Untuk menjalankan pengujian, kirim traffic dari VM sumber yang diduplikat, misalnya, dengan mengirim ping ICMP. Dalam output tcpdump, pastikan Anda dapat melihat traffic yang diharapkan.

Mengubah kebijakan duplikasi paket

Anda dapat memperbarui kebijakan yang ada untuk mengubah detail seperti sumber yang diduplikat atau tujuan kolektor.

Konsol

  1. Di konsol Google Cloud, buka halaman Packet Mirroring.

    Buka Packet Mirroring

  2. Dari daftar kebijakan duplikasi paket, klik kebijakan yang ingin Anda edit.

  3. Di halaman detail kebijakan, klik Edit.

  4. Edit kolom yang ingin Anda perbarui. Konsol mengikuti alur yang sama dengan langkah-langkah saat Anda membuat kebijakan. Untuk informasi tentang setiap kolom, lihat Membuat kebijakan duplikasi paket.

gcloud

Untuk memperbarui kebijakan duplikasi paket yang ada, gunakan perintah packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME [--async] \
  [--collector-ilb=FORWARDING_RULE_NAME] [--description=DESCRIPTION] [--enable] \
  [--filter-direction=DIRECTION] [--region=REGION] \
  [--add-filter-cidr-ranges=[CIDR_RANGE,...] | --clear-filter-cidr-ranges \
    | --remove-filter-cidr-ranges=[CIDR_RANGE,...] \
    | --set-filter-cidr-ranges=[CIDR_RANGE,...]] \
  [--add-filter-protocols=[PROTOCOL,...] | --clear-filter-protocols \
    | --remove-filter-protocols=[PROTOCOL,...] \
    | --set-filter-protocols=[PROTOCOL,...]] \
  [--add-mirrored-instances=[INSTANCE,...] | --clear-mirrored-instances \
    | --remove-mirrored-instances=[INSTANCE,...] \
    | --set-mirrored-instances=[INSTANCE,...]] \
  [--add-mirrored-subnets=[SUBNET,...] | --clear-mirrored-subnets \
    | --remove-mirrored-subnets=[SUBNET,...] \
    | --set-mirrored-subnets=[SUBNET,...]] \
  [--add-mirrored-tags=[TAG,...] | --clear-mirrored-tags \
    | --remove-mirrored-tags=[TAG,...] | --set-mirrored-tags=[TAG,...]]

Ganti kode berikut:

  • POLICY_NAME: nama kebijakan duplikasi paket yang akan diubah.
  • FORWARDING_RULE_NAME: nama aturan penerusan yang dikonfigurasi sebagai kolektor. Google Cloud mengirimkan semua traffic yang diduplikat ke Load Balancer Jaringan passthrough internal terkait.
  • DESCRIPTION: deskripsi kebijakan duplikasi paket.
  • DIRECTION: rute traffic tempat kebijakan duplikasi paket diterapkan. Opsinya adalah egress, ingress, atau both.
  • REGION: region tempat kebijakan berada.
  • CIDR_RANGE: satu atau beberapa rentang CIDR IPv4 atau IPv6 yang akan dicerminkan. Jika tidak ada rentang CIDR yang ditentukan, semua traffic IPv4 yang cocok dengan protokol yang ditentukan akan diduplikasi. Jika rentang CIDR atau protokol tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk mencerminkan semua traffic IPv4 dan IPv6, gunakan 0.0.0.0/0,::/0. Anda dapat menyertakan rentang CIDR IPv4 dan IPv6. Anda dapat memberikan beberapa rentang menggunakan daftar yang dipisahkan koma.
  • PROTOCOL: satu atau beberapa protokol untuk dicerminkan. Nilai yang valid adalah tcp, udp, icmp, esp, ah, ipip, sctp, atau nomor protokol IANA. Jika tidak ada protokol yang ditentukan, lalu lintas yang cocok dengan rentang CIDR yang ditentukan akan dicerminkan. Jika tidak ada protokol atau rentang CIDR yang ditentukan, semua traffic IPv4 akan dicerminkan. Untuk menentukan ICMP untuk IPv6, gunakan 58. Anda dapat menyediakan beberapa protokol dengan menggunakan daftar yang dipisahkan koma.
  • INSTANCE: ID yang sepenuhnya memenuhi syarat dari satu atau beberapa instance VM untuk diduplikat. Anda dapat menyediakan beberapa instance dengan menggunakan daftar yang dipisahkan koma.
  • SUBNET: satu atau beberapa subnetwork. Anda dapat menyediakan beberapa subnetwork dengan menggunakan daftar yang dipisahkan koma. Google Cloud menduplikat instance yang ada dan yang akan datang di subnet.
  • TAG: satu atau beberapa tag jaringan. Anda dapat memberikan beberapa tag dengan menggunakan daftar yang dipisahkan koma.

API

Untuk memperbarui kebijakan duplikasi paket, buat permintaan POST ke metode packetMirrorings.patch.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
{
  "name": "POLICY_NAME",
  "description": "DESCRIPTION",
  "priority": "PRIORITY",
  "collectorIlb": {
    "url": "FORWARDING_RULE_URL"
  },
  "mirroredResources": {
    "subnetworks": [
      {
        "url": "SUBNET_URL"
      }
    ],
    "instances": [
      {
        "url": "INSTANCE_URL"
      }
    ],
    "tags": [
      "NETWORK_TAGS"
    ]
  },
  "filter": {
    "cidrRanges": [
      "CIDR_RANGE"
    ],
    "IPProtocols": [
      "PROTOCOL"
    ],
    "direction": "DIRECTION"
  },
  "enable": "ENABLED"
}

Ganti kode berikut:

  • PROJECT_ID: ID project tempat kebijakan berada.
  • REGION: region kebijakan duplikasi paket.
  • POLICY_NAME: nama kebijakan duplikasi paket yang akan diubah.
  • DESCRIPTION: deskripsi opsional untuk kebijakan.
  • PRIORITY: prioritas kebijakan, yang digunakan untuk memutuskan ikatan jika ada beberapa kebijakan yang cocok. Nilai defaultnya adalah 1.000. Rentang yang valid adalah 0 hingga 65.535.
  • FORWARDING_RULE_URL: URL aturan penerusan dengan Duplikasi Paket yang diaktifkan. Google Cloud mengirimkan semua traffic yang diduplikat ke Load Balancer Jaringan passthrough internal terkait.
  • SUBNET_URL: URL subnetwork. Google Cloud menduplikat instance yang ada dan yang akan datang di subnet. Anda dapat menyediakan beberapa subnetwork dengan menggunakan daftar yang dipisahkan koma.
  • INSTANCE_URL: URL instance VM yang akan diduplikat. Anda dapat memberikan beberapa instance menggunakan daftar yang dipisahkan koma.
  • NETWORK_TAGS: tag jaringan. Google Cloud menduplikat instance yang memiliki satu atau beberapa tag jaringan. Anda dapat memberikan beberapa tag dengan menggunakan daftar yang dipisahkan koma.
  • CIDR_RANGE: satu atau beberapa rentang CIDR IPv4 atau IPv6 yang akan dicerminkan. Jika tidak ada rentang CIDR yang ditentukan, semua traffic IPv4 yang cocok dengan protokol yang ditentukan akan diduplikasi. Jika rentang CIDR atau protokol tidak ditentukan, semua traffic IPv4 akan diduplikasi. Untuk mencerminkan semua traffic IPv4 dan IPv6, gunakan "0.0.0.0/0", "::/0". Anda dapat menyertakan rentang CIDR IPv4 dan IPv6. Anda dapat memberikan beberapa rentang CIDR menggunakan format berikut: "192.0.2.0/24", "2001:DB8::/32".
  • IP_PROTOCOL: satu atau beberapa protokol. Opsinya adalah tcp, udp, icmp, esp, ah, ipip, sctp, atau nomor protokol IANA. Jika tidak ada protokol yang ditentukan, semua traffic yang cocok dengan rentang CIDR yang ditentukan akan dicerminkan. Jika rentang CIDR atau protokol tidak ditentukan, semua lalu lintas IPv4 akan dicerminkan. Untuk menentukan ICMP untuk IPv6, gunakan 58. Anda dapat menyediakan beberapa protokol menggunakan bentuk berikut: "icmp", "udp".
  • DIRECTION: rute traffic yang akan diduplikat. Opsinya adalah INGRESS, EGRESS, atau BOTH. Defaultnya adalah BOTH.
  • ENABLED: menunjukkan apakah kebijakan diaktifkan atau tidak. Opsinya adalah TRUE atau FALSE.

Menampilkan daftar kebijakan duplikasi paket

Anda dapat menampilkan kebijakan duplikasi paket untuk melihat kebijakan yang ada.

Konsol

  • Di konsol Google Cloud, buka halaman Packet Mirroring.

    Buka Packet Mirroring

    Konsol Google Cloud mencantumkan semua kebijakan dalam project Anda.

gcloud

Untuk mencantumkan kebijakan duplikasi paket yang ada di project Anda atau untuk region tertentu, gunakan perintah packet-mirrorings list.

gcloud compute packet-mirrorings list \
  [--filter="region:(REGION...)"]

Ganti REGION dengan nama region yang berisi kebijakan yang akan dicantumkan.

API

Untuk mencantumkan kebijakan duplikasi paket yang ada dalam project Anda, buat permintaan GET ke metode packetMirrorings.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/packetMirrorings

Ganti PROJECT_ID dengan ID project Anda.

Untuk mencantumkan kebijakan duplikasi paket yang ada bagi region tertentu, buat permintaan GET ke metode packetMirrorings.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings

Ganti kode berikut:

  • PROJECT_ID: ID project yang berisi kebijakan yang akan dicantumkan.
  • REGION: region yang berisi kebijakan yang akan dicantumkan.

Menjelaskan kebijakan duplikasi paket

Anda dapat menjelaskan kebijakan duplikasi paket untuk melihat detail seperti filter kebijakan.

Konsol

  1. Di konsol Google Cloud, buka halaman Packet Mirroring.

    Buka Packet Mirroring

  2. Dari daftar kebijakan duplikasi paket, pilih kebijakan yang ingin Anda lihat. Konsol Google Cloud menampilkan detail kebijakan yang Anda pilih.

gcloud

Untuk mendeskripsikan kebijakan duplikasi paket, gunakan perintah packet-mirrorings describe.

gcloud compute packet-mirrorings describe POLICY_NAME \
  --region=REGION \

Ganti kode berikut:

  • POLICY_NAME: nama kebijakan duplikasi paket yang akan dijelaskan.
  • REGION: region tempat kebijakan berada.

API

Untuk mendeskripsikan kebijakan duplikasi paket, buat permintaan GET ke metode packetMirrorings.get.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project tempat kebijakan berada.
  • REGION: region tempat kebijakan berada.
  • POLICY_NAME: nama kebijakan duplikasi paket yang akan dijelaskan.

Menonaktifkan atau mengaktifkan kebijakan duplikasi paket

Anda dapat menonaktifkan atau mengaktifkan kebijakan duplikasi paket untuk menghentikan atau mulai mengumpulkan traffic yang diduplikat.

Konsol

  1. Di konsol Google Cloud, buka halaman Packet Mirroring.

    Buka Packet Mirroring

  2. Dari daftar kebijakan duplikasi paket, pilih kebijakan yang akan dinonaktifkan atau diaktifkan.

  3. Klik Disable atau Enable.

  4. Konfirmasi dengan mengklik Disable atau Enable.

gcloud

Untuk menonaktifkan kebijakan duplikasi paket, gunakan perintah packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME \
  --region=REGION \
  --no-enable

Ganti kode berikut:

  • POLICY_NAME: nama kebijakan duplikasi paket yang akan dinonaktifkan atau diaktifkan.
  • REGION: region tempat kebijakan berada.

Untuk mengaktifkan kebijakan duplikasi paket, gunakan perintah packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME \
  --region=REGION \
  --enable

Ganti kode berikut:

  • POLICY_NAME: nama kebijakan duplikasi paket yang akan dinonaktifkan atau diaktifkan.
  • REGION: region tempat kebijakan berada.

API

Untuk menonaktifkan atau mengaktifkan kebijakan duplikasi paket yang ada, buat permintaan PATCH ke metode packetMirrorings.patch.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
{
  "enable": "FALSE|TRUE"
}

Ganti kode berikut:

  • PROJECT_ID: ID project tempat kebijakan berada.
  • REGION: region tempat kebijakan berada.
  • POLICY_NAME: nama kebijakan duplikasi paket yang akan dinonaktifkan.

Menghapus kebijakan duplikasi paket

Anda dapat menghapus kebijakan duplikasi paket untuk menghapusnya dari project Anda. Setelah Anda menghapus kebijakan, Google Cloud akan berhenti menduplikat semua traffic yang terkait dengan kebijakan tersebut.

Konsol

  1. Di konsol Google Cloud, buka halaman Packet Mirroring.

    Buka Packet Mirroring

  2. Dari daftar kebijakan duplikasi paket, pilih kebijakan yang ingin Anda hapus.

  3. Klik Delete.

  4. Konfirmasi dengan mengklik Delete.

gcloud

Untuk menghapus kebijakan duplikasi paket, gunakan perintah packet-mirrorings delete.

gcloud compute packet-mirrorings delete POLICY_NAME \
  --region=REGION \

Ganti kode berikut:

  • POLICY_NAME: nama kebijakan duplikasi paket yang akan dihapus.
  • REGION: region tempat kebijakan berada.

API

Untuk menghapus kebijakan duplikasi paket, buat permintaan DELETE ke metode packetMirrorings.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME

Ganti kode berikut:

  • PROJECT_ID: ID project tempat kebijakan berada.
  • POLICY_NAME: nama kebijakan duplikasi paket yang akan dihapus.
  • REGION: region tempat kebijakan berada.

Pemecahan masalah

Jika kebijakan duplikasi paket tidak mengumpulkan traffic duplikasi yang diinginkan, periksa konfigurasi berikut:

  • Pastikan Anda memiliki aturan firewall yang mengizinkan traffic dari instance yang diduplikat ke instance kolektor.

  • Periksa apakah sumber yang diduplikat menyertakan atau mengecualikan instance yang akan diduplikat. Misalnya, jika Anda menentukan subnet sebagai sumber yang diduplikat, semua instance yang ada dan yang akan datang di subnet akan diduplikat. Jika Anda menentukan tag, hanya instance yang memiliki tag yang cocok yang akan diduplikat.

  • Periksa apakah filter duplikasi paket tidak terlalu luas atau terlalu terbatas. Anda mungkin tidak sengaja mengonfigurasi filter untuk menyertakan atau mengecualikan traffic tertentu.

  • Jika Anda telah mengonfigurasi kebijakan pencerminan paket untuk mengumpulkan traffic IPv6, pastikan sumber traffic yang diduplikasi adalah VM dual-stack yang terhubung ke subnet dual-stack.