Paketspiegelung verwenden

Verwenden Sie die Paketspiegelung, um Traffic zu und von bestimmten VM-Instanzen zu spiegeln. Sie können den erfassten Traffic verwenden, um Sicherheitsbedrohungen zu erkennen und die Anwendungsleistung zu überwachen. Weitere Informationen zur Paketspiegelung finden Sie unter Paketspiegelung – Übersicht.

Gespiegelter Traffic wird an VMs gesendet, auf denen Sie die entsprechende Software installiert haben. Unter Partneranbieter für die Paketspiegelung finden Sie eine Liste der Anbieter, die Software bereitstellen.

In den folgenden Abschnitten wird beschrieben, wie Sie Paketspiegelungsrichtlinien erstellen und verwalten.

Beschränkungen

Vorbereitung

Bevor Sie eine Paketspiegelungsrichtlinie erstellen, müssen Sie über die entsprechenden Berechtigungen verfügen. Sie müssen auch einen internen TCP/UDP-Load-Balancer, der das Ziel des Collectors ist, in derselben Region wie die zu spiegelnden Instanzen erstellen.

Berechtigungen

Zum Erstellen und Verwalten von Paketspiegelungsrichtlinien stellt Google Cloud zwei Rollen bereit, die sich auf die Paketspiegelung beziehen:

  • compute.packetMirroringUser gewährt Nutzern die Berechtigung, Paketspiegelungsrichtlinien zu erstellen, zu aktualisieren und zu löschen. Um die Paketspiegelung verwenden zu können, müssen Nutzer diese Rolle in Projekten haben, in denen sie Paketspiegelungsrichtlinien erstellen.

  • compute.packetMirroringAdmin gewährt Nutzern die Berechtigung, bestimmte Ressourcen zu spiegeln. Auch wenn Nutzer berechtigt sind, eine Paketspiegelungsrichtlinie zu erstellen, benötigen sie dennoch die Berechtigung zum Spiegeln verwandter Quellen. Verwenden Sie diese Rolle in Projekten, in denen der Inhaber einer Richtlinie möglicherweise keine anderen Berechtigungen hat, z. B. in freigegebenen VPC-Szenarien.

Weitere Informationen zur Verwendung von IAM-Rollen finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Internes Load-Balancing-Modul

Sie benötigen einen internen TCP/UDP-Load-Balancer, der für die Paketspiegelung konfiguriert ist. Er muss sich in derselben Region wie die gespiegelten Instanzen befinden. Der gesamte Traffic aus gespiegelten Quellen wird an die Collector-Instanzen gesendet, die sich hinter dem Load-Balancer befinden.

Zum Konfigurieren des internen TCP/UDP-Load-Balancers für die Paketspiegelung muss die Weiterleitungsregel als Paketspiegelungs-Collector konfiguriert sein. Nicht gespiegelter Traffic, der an den Load-Balancer gesendet wird, wird verworfen. Wenn eine Paketspiegelungsrichtlinie auf die Collector-Instanzen zutrifft, werden diese von der Paketspiegelung ignoriert und deren Traffic wird nicht gespiegelt.

Wir empfehlen die Verwendung einer Instanzvorlage und einer verwalteten Instanzgruppe für die Collector-Instanzen. Eine verwaltete Instanzgruppe bietet Funktionen zur automatischen Skalierung und automatischen Reparatur, damit Ihre Traffic- und Verfügbarkeitsanforderungen erfüllt werden. Wenn Sie eine verwaltete Instanzgruppe verwenden, verlassen Sie sich nicht auf Bootlaufwerke als nichtflüchtige Daten. Sichern Sie Ihre Daten an einem anderen zentralen Ort, um sie aufzubewahren.

Weitere Informationen zu Instanzgruppen und internen TCP/UDP-Load-Balancern finden Sie in der folgenden Dokumentation: Instanzvorlage erstellen, Verwaltete Instanzgruppe erstellen und Komponenten für den Load-Balancer konfigurieren.

Verwenden Sie beim Erstellen der Weiterleitungsregel für den internen TCP/UDP-Load-Balancer das Flag --is-mirroring-collector.

gcloud compute forwarding-rules create COLLECTOR_RULE \
    --region=REGION \
    --load-balancing-scheme=internal \
    --backend-service=COLLECTOR_BACKEND_SERVICE \
    --ports=all \
    --is-mirroring-collector \
    --network=NETWORK

Dabei gilt:

  • COLLECTOR_RULE ist ein Name für die Weiterleitungsregel.
  • REGION ist die Region für die Weiterleitungsregel.
  • COLLECTOR_BACKEND_SERVICE ist der Back-End-Dienst für diesen Load-Balancer.
  • NETWORK ist das Netzwerk für die Weiterleitungsregel.

Firewallregeln

Gespiegelter Traffic muss von den Quell- zu den Zielinstanzen weitergeleitet werden können, die Teil des internen TCP/UDP-Load-Balancers sind. Möglicherweise verfügen Sie bereits über Regeln, die diesen Traffic zulassen.

  • Prüfen Sie, ob gespiegelte Instanzen eine Regel für ausgehenden Traffic haben, mit der sie Traffic an die Weiterleitungsregel des internen TCP/UDP-Load-Balancers senden können.
  • Prüfen Sie, ob Collector-Instanzen in der Instanzgruppe des Load-Balancers eine Regel für eingehenden Traffic haben, mit der Traffic von gespiegelten Instanzen oder aus dem IP-Adressbereich der gespiegelten Instanzen empfangen werden kann. Sie können z. B. einen Quellbereich 0.0.0.0/0 angeben, um den gesamten eingehenden Traffic aus gespiegelten Instanzen zu erfassen. Wenn Sie verhindern möchten, dass Internet-Traffic die Collector-Instanzen erreicht, weisen Sie ihnen nur interne IP-Adressen zu.

Wenn Sie keine Regeln haben, die diesen Traffic zulassen, finden Sie weitere Informationen zum Erstellen von Regeln unter Firewallregeln verwenden.

Paketspiegelungsrichtlinie erstellen

Erstellen Sie eine Paketspiegelungsrichtlinie, um das Spiegeln des Traffics zu und von bestimmten Instanzen zu starten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Paketspiegelung” auf.
    Zur Seite „Paketspiegelung”
  2. Klicken Sie auf Richtlinie erstellen.
  3. Geben Sie die folgenden Informationen über die Richtlinie ein und klicken Sie dann auf Weiter.

    1. Geben Sie einen Namen für die Richtlinie ein.
    2. Wählen Sie die Region aus, welche die gespiegelten Quellen und das Collector-Ziel enthält. Die Paketspiegelungsrichtlinie muss sich in derselben Region wie die Quelle und das Ziel befinden.
    3. Ignorieren Sie das Feld Priorität. Dieses kann momentan nicht angepasst werden.
    4. Wählen Sie Aktiviert aus, um die Richtlinie beim Erstellen zu aktivieren.
  4. Wählen Sie die VPC-Netzwerke aus, in denen sich die gespiegelte Quelle und das Collector-Ziel befinden, und klicken Sie dann auf Weiter.

    Die Quelle und das Ziel können sich im selben oder in verschiedenen VPC-Netzwerken befinden. Wenn sie sich im selben VPC-Netzwerk befinden, wählen Sie die Option Gespiegelte Quelle und Collector-Ziel befinden sich im selben VPC-Netzwerk und dann das Netzwerk aus. Wenn sie sich in verschiedenen Netzwerken befinden, wählen Sie die Option Gespiegelte Quelle und Collector-Ziel befinden sich in separaten Peering-VPC-Netzwerken und anschließend das gespiegelte Quellnetzwerk und das Collector-Zielnetzwerk aus.

  5. Wählen Sie die gespiegelte Quellen aus und klicken Sie dann auf Weiter. Sie können eine oder mehrere Quellen auswählen. Google Cloud spiegelt alle Instanzen, die mit mindestens einer Ihrer ausgewählten Quellen übereinstimmen.

    • Subnetze – Wählen Sie mindestens ein Subnetzwerk aus. Google Cloud spiegelt vorhandene und zukünftige Instanzen in ausgewählten Subnetzen.
    • Netzwerktag – Geben Sie ein oder mehrere Netzwerktags an. Google Cloud spiegelt Instanzen, die mindestens eines der angegebenen Tags enthalten.
    • Instanzname – Wählen Sie die zu spiegelnden Instanzen aus.
  6. Wählen Sie einen internen TCP/UDP-Load-Balancer aus, der für die Paketspiegelung konfiguriert wurde, und klicken Sie dann auf Weiter. Google Cloud sendet gespiegelten Traffic an Instanzen, die hinter dem internen TCP/UDP-Load-Balancer liegen.

    Wenn sich bei einer freigegebenen VPC das Collector-Ziel und die gespiegelten Quellen im selben freigegebenen VPC-Netzwerk befinden, müssen Sie das Projekt auswählen, in dem sich das Collector-Ziel befindet, und dann einen Load-Balancer auswählen.

  7. Wenn Sie einschränken möchten, welcher Traffic gespiegelt wird, wählen Sie Gefilterten Traffic spiegeln aus. Google Cloud spiegelt standardmäßig den gesamten Traffic.

    Sie können Traffic anhand von IP-Adressbereichen, Protokollen, Trafficrichtungen oder einer Kombination aller Elemente spiegeln.

  8. Klicken Sie auf Senden, um die Paketspiegelungsrichtlinie zu erstellen.

gcloud

Erstellen Sie eine Paketspiegelungsrichtlinie und geben Sie eine oder mehrere Quellen an, die gespiegelt werden sollen. Google Cloud spiegelt alle Instanzen, die mit mindestens einer Ihrer angegebenen Quellen übereinstimmen.

gcloud compute packet-mirrorings create POLICY_NAME \
  --region=REGION \
  --network=NETWORK_NAME \
  --collector-ilb=FORWARDING_RULE_NAME \
  [--mirrored-subnets=SUBNET,[SUBNET,...]] \
  [--mirrored-tags=TAG,[TAG,...]] \
  [--mirrored-instances=INSTANCE,[INSTANCE,...]] \
  [--filter-cidr-ranges=ADDRESS_RANGE,[ADDRESS_RANGE,...]] \
  [--filter-protocols=PROTOCOL,[PROTOCOL,...]] \
  [--filter-direction=DIRECTION]

Ersetzen Sie die Platzhalter durch gültige Werte:

  • POLICY_NAME ist ein Name für die Paketspiegelungsrichtlinie.
  • REGION ist die Region, in der sich die gespiegelten Quellen und das Collector-Ziel befinden.
  • NETWORK_NAME ist das Netzwerk, in dem sich die gespiegelten Quellen befinden.
  • FORWARDING_RULE_NAME ist der Name einer Weiterleitungsregel, die als Collector für Spiegelungen konfiguriert ist. Google Cloud sendet den gesamten gespiegelten Traffic an den zugehörigen internen TCP/UDP-Load-Balancer.
  • SUBNET ist der Name eines Subnetzes, das gespiegelt werden soll. Google Cloud spiegelt vorhandene und zukünftige Instanzen im Subnetz.
  • TAG ist ein Netzwerk-Tag. Google Cloud spiegelt Instanzen, die ein Netzwerktag haben.
  • INSTANCE ist die voll qualifizierte ID einer Instanz, die gespiegelt werden soll.
  • ADDRESS_RANGE ist ein IP-Adressbereich (CIDR-Bereich), der gespiegelt werden soll.
  • PROTOCOL ist ein IP-Protokoll, das gespiegelt werden soll. Gültige Werte sind: tcp ,udp ,icmp ,esp ,ah ,ipip ,sctp oder eine IANA-Protokollnummer. Sie können mehrere Protokolle in einer durch Kommas getrennten Liste angeben. Wenn --filter-protocols weggelassen wird, werden alle Protokolle gespiegelt.
  • DIRECTION ist die Richtung des Traffics, der relativ zur VM gespiegelt wird. Die Standardeinstellung ist BOTH. Dies bedeutet, dass der eingehende und der ausgehende Traffic gespiegelt werden. Sie können einschränken, welche Pakete erfasst werden. Geben Sie dazu INGRESS an, damit nur eingehende Pakete erfasst werden, oder EGRESS, um nur ausgehende Pakete zu erfassen.

Weitere Informationen und Beschreibungen für die einzelnen Flags finden Sie in der SDK-Referenzdokumentation.

API

Erstellen Sie eine Paketspiegelungsrichtlinie und geben Sie eine oder mehrere Quellen an, die gespiegelt werden sollen. Google Cloud spiegelt alle Instanzen, die mit mindestens einer Ihrer angegebenen Quellen übereinstimmen.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings
{
  "name": "POLICY_NAME",
  "network": {
    "url": "NETWORK_URL"
  },
  "priority": PRIORITY,
  "mirroredResources": {
    "subnetworks": [
      {
        "url": "SUBNET_URL"
      }
    ],
    "tags": [
      "TAG"
    ],
    "instances": [
      {
        "url": "INSTANCE"
      }
    ]
  },
  "collectorIlb": {
    "url": "FORWARDING_RULE_URL"
  },
  "filter": {
    "IPProtocols": [
      "PROTOCOL"
    ],
    "cidrRanges": [
      "ADDRESS_RANGE"
    ]
  }
}

Ersetzen Sie die Platzhalter durch gültige Werte:

  • PROJECT_ID ist die ID des Projekts, in dem die Richtlinie erstellt wird.
  • POLICY_NAME ist ein Name für die Paketspiegelungsrichtlinie.
  • REGION ist die Region, in der sich die gespiegelten Quellen und das Collector-Ziel befinden.
  • NETWORK_URL ist die URL des Netzwerks, in dem sich die gespiegelten Quellen befinden.
  • FORWARDING_RULE_URL ist die URL einer Weiterleitungsregel, die als Collector für Spiegelungen konfiguriert ist. Google Cloud sendet den gesamten gespiegelten Traffic an den zugehörigen internen TCP/UDP-Load-Balancer.
  • SUBNET_URL ist die URL eines Subnetzes, das gespiegelt werden soll. Google Cloud spiegelt vorhandene und zukünftige Instanzen im Subnetz.
  • TAG ist ein Netzwerk-Tag. Google Cloud spiegelt Instanzen, die ein Netzwerktag haben.
  • INSTANCE ist die voll qualifizierte ID einer Instanz, die gespiegelt werden soll.
  • ADDRESS_RANGE ist ein IP-Adressbereich (CIDR-Bereich), der gespiegelt werden soll.
  • PROTOCOL ist ein IP-Protokoll, das gespiegelt werden soll. Gültige Werte sind: tcp ,udp ,icmp ,esp ,ah ,ipip ,sctp oder eine IANA-Protokollnummer. Sie können mehrere Protokolle in einer durch Kommas getrennten Liste angeben. Wenn filter.IPProtocols weggelassen wird, werden alle Protokolle gespiegelt.

Weitere Informationen und Beschreibungen für die einzelnen Felder finden Sie in der Methode packetmirrorings.insert.

Terraform

Sie können eine Terraform-Ressource verwenden, um eine Paketspiegelungsrichtlinie zu erstellen.

resource "google_compute_packet_mirroring" "default" {
  project     = google_compute_instance.mirror.project # Replace this with a reference to your project ID
  region      = "us-central1"
  name        = "my-mirroring"
  description = "My packet mirror"
  network {
    url = var.network # Replace this with a reference to your VPC network
  }
  collector_ilb {
    url = google_compute_forwarding_rule.default.id # Replace this with a reference to your forwarding rule
  }
  mirrored_resources {
    tags = ["foo"]
    instances {
      url = google_compute_instance.mirror.id # Replace this with a reference to your VM instance
    }
  }
  filter {
    ip_protocols = ["tcp"]
    cidr_ranges  = ["0.0.0.0/0"]
    direction    = "BOTH"
  }
}

Informationen zum Prüfen, ob Ihre Paketspiegelungsrichtlinie gilt, finden Sie unter Paketspiegelungsrichtlinien überwachen.

Paketspiegelungsrichtlinie ändern

Aktualisieren Sie eine vorhandene Richtlinie, um die gespiegelten Quellen oder das Collector-Ziel zu ändern.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Paketspiegelung” auf.
    Zur Seite „Paketspiegelung”
  2. Klicken Sie in der Liste der Paketspiegelungsrichtlinien auf die Richtlinie, die Sie bearbeiten möchten.
  3. Klicken Sie auf der Seite mit den Richtliniendetails auf Bearbeiten.
  4. Bearbeiten Sie die Felder, die Sie aktualisieren möchten. Die Konsole folgt demselben Ablauf wie beim Erstellen einer Richtlinie. Informationen zu den einzelnen Feldern finden Sie unter Paketspiegelungsrichtlinie erstellen.

gcloud

Aktualisieren Sie eine vorhandene Paketspiegelungsrichtlinie.

gcloud compute packet-mirrorings update POLICY_NAME \
  --region=REGION \
  [--collector-ilb=FORWARDING_RULE_NAME] \
  [--mirrored-subnets=SUBNET,[SUBNET,...]] \
  [--mirrored-tags=TAG,[TAG,...]] \
  [--mirrored-instances=INSTANCE,[INSTANCE,...]] \
  [--filter-cidr-ranges=ADDRESS_RANGE,[ADDRESS_RANGE,...]] \
  [--filter-protocols=PROTOCOL,[PROTOCOL,...]]

Ersetzen Sie die Platzhalter durch gültige Werte:

  • POLICY_NAME ist der Name der Paketspiegelungsrichtlinie, die geändert werden soll.
  • REGION ist die Region, in der sich die Richtlinie befindet.
  • FORWARDING_RULE_NAME ist der Name einer Weiterleitungsregel, die als Collector konfiguriert ist. Google Cloud sendet den gesamten gespiegelten Traffic an den zugehörigen internen TCP/UDP-Load-Balancer.
  • SUBNET ist der Name eines Subnetzes, das gespiegelt werden soll. Google Cloud spiegelt vorhandene und zukünftige Instanzen im Subnetz.
  • TAG ist ein Netzwerk-Tag. Google Cloud spiegelt Instanzen, die ein Netzwerktag haben.
  • INSTANCE ist die voll qualifizierte ID einer Instanz, die gespiegelt werden soll.
  • ADDRESS_RANGE ist ein IP-Adressbereich (CIDR-Bereich), der gespiegelt werden soll.
  • PROTOCOL ist ein IP-Protokoll, das gespiegelt werden soll. Gültige Werte sind: tcp ,udp ,icmp ,esp ,ah ,ipip ,sctp oder eine IANA-Protokollnummer. Sie können mehrere Protokolle in einer durch Kommas getrennten Liste angeben. Wenn --filter-protocols weggelassen wird, werden alle Protokolle gespiegelt.

Weitere Informationen und Beschreibungen für die einzelnen Flags finden Sie in der SDK-Referenzdokumentation.

API

Aktualisieren Sie eine vorhandene Paketspiegelungsrichtlinie.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
{
  "priority": PRIORITY,
  "mirroredResources": {
    "subnetworks": [
      {
        "url": "SUBNET_URL"
      }
    ],
    "tags": [
      "TAG"
    ],
    "instances": [
      {
        "url": "INSTANCE"
      }
    ]
  },
  "collectorIlb": {
    "url": "FORWARDING_RULE_URL"
  },
  "filter": {
    "IPProtocols": [
      "PROTOCOL"
    ],
    "cidrRanges": [
      "ADDRESS_RANGE"
    ],
    "direction" : DIRECTION,
  }
}

Ersetzen Sie die Platzhalter durch gültige Werte:

  • PROJECT_ID ist die ID des Projekts, in dem sich die Richtlinie befindet.
  • POLICY_NAME ist der Name der Paketspiegelungsrichtlinie, die geändert werden soll.
  • REGION die Region, in der sich die Richtlinie befindet.
  • FORWARDING_RULE_URL ist die URL einer Weiterleitungsregel, die als Collector für Spiegelungen konfiguriert ist. Google Cloud sendet den gesamten gespiegelten Traffic an den zugehörigen internen TCP/UDP-Load-Balancer.
  • SUBNET_URL ist die URL eines Subnetzes, das gespiegelt werden soll. Google Cloud spiegelt vorhandene und zukünftige Instanzen im Subnetz.
  • TAG ist ein Netzwerk-Tag. Google Cloud spiegelt Instanzen, die ein Netzwerktag haben.
  • INSTANCE ist die voll qualifizierte ID einer Instanz, die gespiegelt werden soll.
  • ADDRESS_RANGE ist ein IP-Adressbereich (CIDR-Bereich), der gespiegelt werden soll.
  • PROTOCOL ist ein IP-Protokoll, das gespiegelt werden soll. Gültige Werte sind: tcp ,udp ,icmp ,esp ,ah ,ipip ,sctp oder eine IANA-Protokollnummer. Sie können mehrere Protokolle in einer durch Kommas getrennten Liste angeben. Wenn filter.IPProtocols weggelassen wird, werden alle Protokolle gespiegelt.
  • DIRECTION ist die Richtung des Traffics, der aus der Sicht der VM gespiegelt werden soll. Gültige Werte sind INGRESS, der nur eingehenden Traffic erfasst, EGRESS, der nur ausgehenden Traffic erfasst, oder BOTH (Standard), der sowohl ein- als auch ausgehenden Traffic erfasst.

Weitere Informationen und Beschreibungen für die einzelnen Felder finden Sie in der Methode packetmirrorings.patch.

Paketspiegelungsrichtlinien auflisten

Listen Sie die Paketspiegelungsrichtlinien auf, um vorhandene Richtlinien anzeigen zu lassen.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Paketspiegelung” auf.
    Zur Seite „Paketspiegelung”

    In der Cloud Console werden alle Richtlinien in Ihrem Projekt aufgelistet.

gcloud

Listen Sie vorhandene Paketspiegelungsrichtlinien auf, die sich in Ihrem Projekt befinden oder für eine bestimmte Region gelten.

gcloud compute packet-mirrorings list \
  [--filter="region:(REGION...)"]

Ersetzen Sie REGION durch den Namen der Region, welche die aufzulistenden Richtlinien enthält.

Weitere Informationen und Beschreibungen für die einzelnen Flags finden Sie in der SDK-Referenzdokumentation.

API

Listen Sie vorhandene Paketspiegelungsrichtlinien auf, die sich in Ihrem Projekt befinden.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/packetMirrorings

Listen Sie vorhandene Paketspiegelungsrichtlinien auf, die für eine bestimmte Region gelten.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings

Ersetzen Sie die Platzhalter durch gültige Werte:

  • PROJECT_ID ist die ID des Projekts, das die Richtlinien enthält, die aufgelistet werden sollen.
  • REGION ist die Region, die die Richtlinien enthält, die aufgelistet werden sollen.

Weitere Informationen und Beschreibungen für die einzelnen Felder finden Sie in den Methoden packetmirrorings.aggregatedList bzw. packetmirrorings.list.

Paketspiegelungsrichtlinie beschreiben

Lassen Sie sich die Details einer vorhandenen Paketspiegelungsrichtlinie anzeigen, wenn Sie z. B. deren Filter ansehen möchten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Paketspiegelung” auf.
    Zur Seite „Paketspiegelung”
  2. Wählen Sie in der Liste der Paketspiegelungsrichtlinien die Richtlinie aus, die Sie ansehen möchten.

    In der Cloud Console werden die Details der ausgewählten Richtlinie angezeigt.

gcloud

Beschreiben Sie eine vorhandene Paketspiegelungsrichtlinie, damit die zugehörigen Details angezeigt werden können.

gcloud compute packet-mirrorings describe POLICY_NAME \
  --region=REGION \

Ersetzen Sie die Platzhalter durch gültige Werte:

  • POLICY_NAME ist der Name der Paketspiegelungsrichtlinie, die beschrieben werden soll.
  • REGION ist die Region, in der sich die Richtlinie befindet.

Weitere Informationen und Beschreibungen für die einzelnen Flags finden Sie in der SDK-Referenzdokumentation.

API

Beschreiben Sie eine vorhandene Paketspiegelungsrichtlinie, damit die zugehörigen Details angezeigt werden können.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME

Ersetzen Sie die Platzhalter durch gültige Werte:

  • PROJECT_ID ist die ID des Projekts, in dem sich die Richtlinie befindet.
  • POLICY_NAME ist der Name der Paketspiegelungsrichtlinie, die beschrieben werden soll.
  • REGION die Region, in der sich die Richtlinie befindet.

Weitere Informationen und Beschreibungen für die einzelnen Felder finden Sie in der Methode packetmirrorings.get.

Paketspiegelungsrichtlinie deaktivieren bzw. aktivieren

Deaktivieren bzw. aktivieren Sie eine Paketspiegelungsrichtlinie, um das Sammeln des gespiegelten Traffics zu stoppen bzw. zu starten.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Paketspiegelung” auf.
    Zur Seite „Paketspiegelung”
  2. Wählen Sie in der Liste der Paketspiegelungsrichtlinien die Richtlinie aus, die Sie deaktivieren bzw. aktivieren möchten.
  3. Klicken Sie auf Deaktivieren bzw. Aktivieren.
  4. Klicken Sie zur Bestätigung auf Deaktivieren bzw. Aktivieren.

gcloud

Deaktivieren Sie eine vorhandene Paketspiegelungsrichtlinie.

gcloud compute packet-mirrorings update POLICY_NAME \
  --region=REGION \
  --no-enable

Aktivieren Sie eine vorhandene Paketspiegelungsrichtlinie.

gcloud compute packet-mirrorings update POLICY_NAME \
  --region=REGION \
  --enable

Ersetzen Sie die Platzhalter durch gültige Werte:

  • POLICY_NAME ist der Name für die Paketspiegelungsrichtlinie, die deaktiviert bzw. aktiviert werden soll.
  • REGION ist die Region, in der sich die Richtlinie befindet.

Weitere Informationen und Beschreibungen für die einzelnen Flags finden Sie in der SDK-Referenzdokumentation.

API

Deaktivieren bzw. aktivieren Sie eine vorhandene Paketspiegelungsrichtlinie.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
{
  "enable": "FALSE|TRUE"
}

Ersetzen Sie die Platzhalter durch gültige Werte:

  • PROJECT_ID ist die ID des Projekts, in dem sich die Richtlinie befindet.
  • POLICY_NAME ist der Name der Paketspiegelungsrichtlinie, die deaktiviert werden soll.
  • REGION die Region, in der sich die Richtlinie befindet.

Weitere Informationen und Beschreibungen für die einzelnen Felder finden Sie in der Methode packetmirrorings.patch.

Paketspiegelungsrichtlinie löschen

Löschen Sie eine Paketspiegelungsrichtlinie, um sie aus Ihrem Projekt zu entfernen. Nachdem Sie eine Richtlinie gelöscht haben, wird in Google Cloud der gesamte Traffic, der mit der Richtlinie in Zusammenhang steht, nicht mehr gespiegelt.

Console

  1. Rufen Sie in der Google Cloud Console die Seite „Paketspiegelung” auf.
    Zur Seite „Paketspiegelung”
  2. Wählen Sie in der Liste der Paketspiegelungsrichtlinien die Richtlinie aus, die Sie löschen möchten.
  3. Klicken Sie auf Löschen.
  4. Klicken Sie zur Bestätigung auf Löschen.

gcloud

Löschen Sie eine vorhandene Paketspiegelungsrichtlinie.

gcloud compute packet-mirrorings delete POLICY_NAME \
  --region=REGION \

Ersetzen Sie die Platzhalter durch gültige Werte:

  • POLICY_NAME ist der Name der Paketspiegelungsrichtlinie, die gelöscht werden soll.
  • REGION ist die Region, in der sich die Richtlinie befindet.

Weitere Informationen und Beschreibungen für die einzelnen Flags finden Sie in der SDK-Referenzdokumentation.

API

Löschen Sie eine vorhandene Paketspiegelungsrichtlinie.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME

Ersetzen Sie die Platzhalter durch gültige Werte:

  • PROJECT_ID ist die ID des Projekts, in dem sich die Richtlinie befindet.
  • POLICY_NAME ist der Name der Paketspiegelungsrichtlinie, die gelöscht werden soll.
  • REGION die Region, in der sich die Richtlinie befindet.

Weitere Informationen und Beschreibungen für die einzelnen Felder finden Sie in der Methode packetmirrorings.delete.

Fehlerbehebung

Prüfen Sie die folgenden Konfigurationen, wenn mit der Paketspiegelungsrichtlinie nicht der vorgesehene gespiegelte Traffic erfasst wird:

  • Prüfen Sie, ob Ihre Firewallregeln den Traffic von den gespiegelten Instanzen zu den Collector-Instanzen zulassen.

  • Prüfen Sie, ob Ihre gespiegelten Quellen die Instanzen ein- bzw. ausschließen, die gespiegelt werden sollen. Wenn Sie z. B. ein Subnetz als gespiegelte Quelle angeben, werden alle vorhandenen und zukünftigen Instanzen im Subnetz gespiegelt. Wenn Sie Tags angeben, werden nur Instanzen mit übereinstimmenden Tags gespiegelt.

  • Prüfen Sie, ob die Paketspiegelungsfilter nicht zu umfassend bzw. zu eng definiert sind. Möglicherweise haben Sie unbeabsichtigt Filter konfiguriert, um bestimmte Zugriffe ein- bzw. auszuschließen.