Usa la duplicación de paquetes

Puedes usar la Duplicación de paquetes para duplicar el tráfico desde y hacia instancias de máquina virtual (VM) específicas. El tráfico recopilado puede ayudarte a detectar amenazas de seguridad y supervisar el rendimiento de las aplicaciones. Para obtener detalles acerca de la Duplicación de paquetes, consulta Duplicación de paquetes.

El tráfico duplicado se envía a las VMs en las que instalaste el software correspondiente. Para obtener una lista de proveedores que proporcionan software, consulta Proveedores de duplicación de paquetes.

En las siguientes secciones, se describe cómo crear y administrar las políticas de duplicación de paquetes.

Limitaciones

Duplicación de paquetes no puede duplicar paquetes para el tráfico de servicios publicados de Private Service Connect.
Por motivos de seguridad, la Duplicación de paquetes no duplica los paquetes que se envían al rango de direcciones IP de vínculo local 169.254.0.0/16. Este rango incluye las solicitudes de metadatos de una VM a su servidor de metadatos.
No se admite el uso de un servicio LoadBalancer de Google Kubernetes Engine (GKE) como colector de duplicación de paquetes.
Si una política de duplicación de paquetes puede aplicarse a las instancias de colector, la duplicación de paquetes las ignora y no duplica su tráfico.

Antes de comenzar

Antes de crear una política de duplicación de paquetes, debes tener los permisos correspondientes. También debes crear un balanceador de cargas de red de transferencia interno para que actúe como destino de colector. Este balanceador de cargas de red de transferencia interno requiere un grupo de instancias para que su servicio de backend pueda usar las VMs como destinos de colector.

Permisos

Para crear y administrar políticas de duplicación de paquetes, Google Cloud proporciona dos roles relacionados con la duplicación de paquetes:

compute.packetMirroringUser otorga permiso a los usuarios para crear, actualizar y borrar políticas de duplicación de paquetes. Para usar la duplicación de paquetes, los usuarios deben tener este rol en los proyectos en los que crean políticas de duplicación de paquetes.
compute.packetMirroringAdmin otorga permiso a los usuarios para duplicar recursos específicos. Incluso si los usuarios tienen permiso para crear una política de duplicación de paquetes, aún necesitan permiso a fin de duplicar las fuentes relacionadas. Usa este rol en proyectos en los que el propietario de una política quizás no tenga otros permisos, por ejemplo, en situaciones de VPC compartida.

Para obtener más información sobre cómo usar los roles de IAM, consulta Administra el acceso a los proyectos, las carpetas y las organizaciones en la documentación de IAM.

Crea instancias de colector

En la duplicación de paquetes, se requiere un grupo de instancias de instancias de recopilador. Para obtener más información sobre los grupos de instancias, consulta la siguiente documentación: Crea una plantilla de instancias nueva y Crea un MIG en una sola zona.

Crea un balanceador de cargas interno para la duplicación de paquetes

Para habilitar la duplicación de paquetes, debes tener un balanceador de cargas de red de transferencia interno que pueda funcionar como un colector de duplicación de paquetes. El balanceador de cargas de red de transferencia interno debe cumplir con los siguientes requisitos:

La regla de reenvío del balanceador de cargas de red de transferencia interno debe tener habilitada la duplicación de paquetes cuando se crea la regla. Este estado no se puede cambiar después de que se crea la regla. Puedes usar esta regla de reenvío para recopilar tráfico IPv4 e IPv6.
El balanceador de cargas de red de transferencia interno está en la misma región que las instancias que duplicas.
El servicio de backend del balanceador de cargas de red de transferencia interno debe usar una afinidad de sesión de NONE (hash de 5 tuplas).
El servicio de backend del balanceador de cargas de red de transferencia interno debe tener inhabilitada la subdivisión de backend.

Si tus instancias de colector no están configuradas para responder a la verificación de estado que configuraste con tu servicio de backend, la verificación de estado puede fallar. En este caso, los paquetes aún se pueden duplicar.

Si deseas obtener más información sobre cómo crear un balanceador de cargas de red de transferencia interno para la duplicación de paquetes, consulta Crea un balanceador de cargas para la duplicación de paquetes.

Configura reglas de firewall

Haz lo siguiente para preparar tu red de VPC para el tráfico de Duplicación de paquetes:

Asegúrate de que las instancias de colector del grupo de instancias del balanceador de cargas puedan recibir tráfico de instancias duplicadas o de los rangos de direcciones IPv4 e IPv6 de las instancias duplicadas. Por ejemplo, para permitir que las instancias de colector reciban tráfico IPv4 de cualquier VM, crea una regla de firewall con un rango de direcciones IPv4 de origen de 0.0.0.0/0. Para permitir que las instancias de colector reciban tráfico IPv6 desde cualquier VM, crea una regla de firewall con un rango de direcciones IPv6 de origen de ::/0. Para evitar que el tráfico de Internet llegue a las instancias de colector, asígnales solo direcciones IPv4 e IPv6 internas.
Asegúrate de que ninguna otra regla de firewall anule la regla de salida implícita para que el tráfico duplicado pueda fluir desde las instancias de origen hasta las instancias de destino que forman parte del balanceador de cargas de red de transferencia interno.
Asegúrate de que las instancias de colector puedan recibir tráfico de los sistemas de verificación de estado de Google Cloud. Por ejemplo, para el tráfico IPv4, crea una regla de firewall que permita el tráfico a las instancias de colector desde los rangos de direcciones IPv4 de 130.211.0.0/22 y 35.191.0.0/16. Para el tráfico IPv6, crea una regla de firewall que permita el tráfico a las instancias de colector desde el rango de direcciones IPv6 de 2600:2d00:1:b029::/64.
Si deseas probar la Duplicación de paquetes mediante el envío manual de tráfico de salida desde una o más instancias duplicadas, crea una regla de firewall que permita el tráfico SSH a esas instancias. Por ejemplo, para permitir conexiones SSH a tus instancias duplicadas desde todas las direcciones IPv4 e IPv6, permite el tráfico de entrada TCP al puerto 22 desde cualquier dirección IPv4 e IPv6 de origen. Si solo quieres permitir conexiones SSH que se inician desde un rango de direcciones IPv4 o IPv6 determinado, especifica ese rango de direcciones IPv4 o IPv6 como un rango de origen para la regla de firewall. Para obtener más información sobre cómo probar el balanceador de cargas de red de transferencia interno, consulta Prueba el balanceo de cargas.

Si no tienes reglas existentes que permitan este tráfico, consulta Usa reglas de firewall de VPC para crearlas. Si deseas obtener más información sobre cómo crear reglas de firewall para un balanceador de cargas de red de transferencia interno, consulta Configura las reglas de firewall en la documentación de Cloud Load Balancing.

Crea una política de duplicación de paquetes

Para comenzar a duplicar el tráfico hacia y desde instancias específicas, crea una política de duplicación de paquetes. Google Cloud duplica cualquier instancia que coincida con al menos uno de los orígenes especificados.

Consola

En la consola de Google Cloud, ve a la página Duplicación de paquetes.

Ir a Duplicación de paquetes
Haga clic en Crear política.
Ingresa la siguiente información sobre la política y haz clic en Continuar.
1. Ingresa un nombre para la política.
2. Selecciona la región que incluye los orígenes de duplicación y el destino del colector. La política de duplicación de paquetes debe estar en la misma región que la fuente y el destino.
3. Ignora el campo Prioridad. No se puede ajustar en este momento.
4. Selecciona Habilitada para activar la política cuando la crees.
Selecciona las redes de VPC en las que se encuentran el origen de duplicación y el destino de colector, y haz clic en Continuar.

El origen y el destino pueden, o no, estar en la misma red de VPC.
- Si están en la misma red de VPC, selecciona El origen de duplicación y el destino están en la misma red de VPC y, luego, selecciona la red.
- Si están en redes diferentes, selecciona El origen de duplicación y el destino de colector están en redes de VPC de intercambio de tráfico independientes y, a continuación, selecciona la red de origen de duplicación y, luego, la red de destino del colector.
Selecciona las fuentes duplicadas y, luego, haz clic en Continuar. Puedes seleccionar uno o más orígenes. Google Cloud duplica cualquier instancia que coincida con al menos una de las fuentes seleccionadas.
- Subredes: selecciona una o más subredes. Google Cloud duplica instancias existentes y futuras en las subredes seleccionadas.
- Etiqueta de red: especifica una o más etiquetas de red. Google Cloud duplica las instancias que tienen al menos una de las etiquetas especificadas.
- Nombre de la instancia: Selecciona las instancias específicas que deseas duplicar.
Selecciona un balanceador de cargas de red de transferencia interno que se haya configurado para la duplicación de paquetes y haz clic en Continuar. Google Cloud envía tráfico duplicado a las instancias que están detrás del balanceador de cargas de red de transferencia interno.

Para la VPC compartida, si el destino del colector y los orígenes de duplicación están en la misma red de VPC compartida, debes seleccionar el proyecto donde se encuentra el destino del colector y, luego, seleccionar un balanceador de cargas.
Para seleccionar el tráfico que deseas duplicar, haz lo siguiente:
- Para duplicar todo el tráfico IPv4, selecciona Duplicar todo el tráfico IPv4 (predeterminado).
- Para duplicar todo el tráfico IPv4 e IPv6, selecciona Duplicar el tráfico filtrado y, luego, haz lo siguiente:
  - Selecciona Permitir todos los protocolos.
  - Selecciona Permitir todos los rangos IPv4 (0.0.0.0/0).
  - Selecciona Permitir todos los rangos IPv6 (::/0).
  - Selecciona Permitir tráfico de entrada y de salida.
- Para limitar el tráfico que se duplica, selecciona Duplicar el tráfico filtrado y, luego, haz lo siguiente:
  - Para limitar el tráfico duplicado por protocolo, selecciona Permitir protocolos específicos y, luego, selecciona los protocolos. Si no ves un protocolo para el que desees duplicar el tráfico, selecciona Otros protocolos y, luego, ingresa el protocolo en el campo Otros protocolos. . Los valores válidos son tcp, udp, esp, ah, ipip, sctp, o un número de protocolo IANA. Si quieres especificar ICMP para IPv6, ingresa 58.
  - Para los filtros de rango IPv4, haz lo siguiente:
    - Para duplicar todo el tráfico IPv6, selecciona Permitir todos los rangos IPv4 (0.0.0.0/0).
    - Para duplicar el tráfico de rangos de direcciones IPv4 específicos, selecciona Permitir los rangos IPv4 específicos. En el campo Rangos IPv4, escribe un solo rango de direcciones IPv4 y, luego, presiona Intro. Para agregar varios rangos IPv4, presiona Intro después de cada rango que escribas.
  - En Filtros de rango IPv6, haz lo siguiente:
    - Para filtrar todo el tráfico IPv6, selecciona Ninguno.
    - Para duplicar todo el tráfico IPv6, selecciona Permitir todos los rangos IPv6 (::/0).
    - Para duplicar el tráfico de rangos de direcciones IPv6 específicos, selecciona Permitir los rangos IPv6 específicos. En el campo Rangos IPv6, escribe un solo rango de direcciones IPv6 y, luego, presiona Intro. Puedes agregar varios rangos IPv6 si presionas Intro después de cada rango que escribas.
Selecciona la Dirección del tráfico que deseas duplicar.
Para crear la política de duplicación de paquetes, haz clic en Enviar.

gcloud

Para crear una política de duplicación de paquetes, usa el comando packet-mirrorings create.

gcloud compute packet-mirrorings create POLICY_NAME \
    --region=REGION \
    --network=NETWORK_NAME \
    --collector-ilb=FORWARDING_RULE_NAME \
    [--mirrored-subnets=SUBNET,[SUBNET,...]] \
    [--mirrored-tags=TAG,[TAG,...]] \
    [--mirrored-instances=INSTANCE,[INSTANCE,...]] \
    [--filter-cidr-ranges=CIDR_RANGE,[CIDR_RANGE,...]] \
    [--filter-protocols=PROTOCOL,[PROTOCOL,...]] \
    [--filter-direction=DIRECTION]

Reemplaza lo siguiente:

POLICY_NAME: el nombre de la política de duplicación de paquetes.
REGION: la región en la que se encuentran las fuentes duplicadas y el destino del colector.
NETWORK_NAME: la red en la que se encuentran las fuentes duplicadas.
FORWARDING_RULE_NAME: el nombre de la regla de reenvío configurada como colector de duplicación. Google Cloud envía todo el tráfico duplicado al balanceador de cargas de red de transferencia interno asociado.
SUBNET: el nombre de una o más subredes que deseas duplicar. Puedes proporcionar varias subredes mediante una lista separada por comas. Google Cloud duplica instancias existentes y futuras en la subred.
TAG: una o más etiquetas de red. Google Cloud duplica las instancias que tienen la etiqueta de red. Puedes proporcionar varias etiquetas mediante una lista separada por comas.
INSTANCE: el ID completamente calificado de una o más instancias que deseas duplicar. Puedes proporcionar varias instancias mediante una lista separada por comas.
CIDR_RANGE: Uno o más rangos de CIDR IPv4 o IPv6 que quieras duplicar. Si no se especifican rangos de CIDR, se duplica todo el tráfico IPv4 que coincida con los protocolos especificados. Si no se especifican rangos de CIDR ni protocolos, se duplica todo el tráfico IPv4. Para duplicar todo el tráfico IPv4 e IPv6, usa 0.0.0.0/0,::/0. Puedes incluir rangos de CIDR IPv4 e IPv6. Puedes proporcionar varios rangos mediante una lista separada por comas.
PROTOCOL: Uno o más protocolos que quieras duplicar. Los valores válidos son tcp, udp, icmp, esp, ah, ipip, sctp o un número de protocolo IANA. Si no se especifican protocolos, se duplica todo el tráfico que coincida con los rangos de CIDR especificados. Si no se especifican protocolos ni rangos de CIDR, se duplica todo el tráfico IPv4. Si quieres especificar ICMP para IPv6, usa 58. Puedes proporcionar varios protocolos mediante una lista separada por comas.
DIRECTION: la dirección del tráfico que se duplica en relación con la VM. De forma predeterminada, esto se establece en both, lo que significa que el tráfico de entrada y de salida se duplica. Puedes restringir qué paquetes se captarán si especificas ingress para captar solo los paquetes de entrada o egress para captar solo los de salida.

Terraform

Puedes usar un recurso de Terraform para crear una política de duplicación de paquetes.

resource "google_compute_packet_mirroring" "default" {
  region      = "europe-west1"
  name        = "my-mirroring"
  description = "My packet mirror"
  network {
    url = google_compute_network.ilb_network.id
  }
  collector_ilb {
    url = google_compute_forwarding_rule.default.id
  }
  mirrored_resources {
    tags = ["foo"]
    instances {
      url = google_compute_instance.vm_test.id
    }
  }
  filter {
    ip_protocols = ["tcp"]
    cidr_ranges  = ["0.0.0.0/0"]
    direction    = "BOTH"
  }
}

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform.

API

Para crear una política de duplicación de paquetes, realiza una solicitud POST al método packetMirrorings.insert.

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings
{
  "name": "POLICY_NAME",
  "enable": "ENABLED",
  "network": {
    "url": "NETWORK_URL"
  },
  "priority": PRIORITY,
  "mirroredResources": {
    "subnetworks": [
      {
        "url": "SUBNET_URL"
      }
    ],
    "tags": [
      "TAG"
    ],
    "instances": [
      {
        "url": "INSTANCE"
      }
    ]
  },
  "collectorIlb": {
    "url": "FORWARDING_RULE_URL"
  },
  "filter": {
    "IPProtocols": [
      "PROTOCOL"
    ],
    "cidrRanges": [
      "CIDR_RANGE"
    ],
    "direction": "DIRECTION"
  }
}

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto en el que se creará la política.
REGION: la región en la que se encuentran las fuentes duplicadas y el destino del colector.
POLICY_NAME: el nombre de la política de duplicación de paquetes.
ENABLED: indica si esta política tiene efecto o no. Las opciones son TRUE y FALSE. TRUE es la configuración predeterminada.
NETWORK_URL: la URL de la red en la que se encuentran las fuentes duplicadas.
PRIORITY: la prioridad de la regla de reenvío, que se usa para deshacer los vínculos cuando hay más de una regla coincidente. El rango válido es de 0 a 65,535 y el predeterminado es 1,000.
SUBNET_URL: la URL de una subred que deseas duplicar. Google Cloud duplica instancias existentes y futuras en la subred. Puedes proporcionar varias subredes mediante una lista separada por comas.
TAG: una etiqueta de red. Google Cloud duplica las instancias que tienen la etiqueta de red. Puedes proporcionar varias etiquetas mediante una lista separada por comas.
INSTANCE: el ID completamente calificado de una instancia que deseas duplicar. Puedes proporcionar varias instancias mediante una lista separada por comas.
FORWARDING_RULE_URL: la URL de una regla de reenvío configurada como colector de duplicación. Google Cloud envía todo el tráfico duplicado al balanceador de cargas de red de transferencia interno asociado.
PROTOCOL: Uno o más protocolos. Las opciones son tcp, udp, icmp, esp, ah, ipip, sctp o un número de protocolo IANA. Si no se especifican protocolos, se duplica todo el tráfico que coincida con los rangos de CIDR especificados. Si no se especifican rangos de CIDR ni protocolos, se duplica todo el tráfico IPv4. Si quieres especificar ICMP para IPv6, ingresa 58. Puedes proporcionar varios protocolos con el siguiente formato: "icmp", "udp".
CIDR_RANGE: Uno o más rangos de CIDR IPv4 o IPv6 que quieras duplicar. Si no se especifican rangos de CIDR, se duplica todo el tráfico IPv4 que coincida con los protocolos especificados. Si no se especifican rangos de CIDR ni protocolos, se duplica todo el tráfico IPv4. Para duplicar todo el tráfico IPv4 e IPv6, usa "0.0.0.0/0", "::/0". Puedes incluir rangos de CIDR IPv4 e IPv6. Puedes proporcionar varios rangos de CIDR con el siguiente formato: "192.0.2.0/24", "2001:0DB8::/32".
PROTOCOL: Uno o más protocolos que quieras duplicar.
DIRECTION: la dirección del tráfico que se duplica. Las opciones son INGRESS, EGRESS o BOTH. El valor predeterminado es BOTH.

Verifica la duplicación de paquetes

Para verificar que tus instancias de colector reciban tráfico duplicado de forma correcta, puedes usar tcpdump.

Conéctate a una instancia de colector.
Si el comando tcpdump no está disponible, instálalo.
Identifica tu interfaz de red:
```
ip address
```
En la lista de interfaces de red, busca el nombre asociado a la dirección IPv4 interna principal de la instancia de colector, por ejemplo, ens4.
Comienza a analizar paquetes:
```
sudo tcpdump -i INTERFACE_NAME -f "host IP_ADDRESS"
```
Reemplaza lo siguiente:
- INTERFACE_NAME: El nombre de la interfaz que identificaste en el paso 3.
- IP_ADDRESS: La dirección IPv4 de una VM de origen duplicada.
Para ejecutar la prueba, envía tráfico desde la VM de origen duplicada, por ejemplo, mediante un ping ICMP. En el resultado de tcpdump, verifica que puedes ver el tráfico esperado.

Modifica una política de duplicación de paquetes

Puedes actualizar una política existente para cambiar detalles como las fuentes duplicadas o los destinos de colector.

Console

En la consola de Google Cloud, ve a la página Duplicación de paquetes.

Ir a Duplicación de paquetes
En la lista de políticas de duplicación de paquetes, haz clic en la que deseas editar.
En la página de detalles de la política, haz clic en Editar.
Edita los campos que deseas actualizar. La consola sigue el mismo flujo que los pasos para cuando creas una política. Para obtener información sobre cada campo, consulta Crea una política de duplicación de paquetes.

gcloud

Para actualizar una política de duplicación de paquetes existente, usa el comando packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME [--async] \
  [--collector-ilb=FORWARDING_RULE_NAME] [--description=DESCRIPTION] [--enable] \
  [--filter-direction=DIRECTION] [--region=REGION] \
  [--add-filter-cidr-ranges=[CIDR_RANGE,...] | --clear-filter-cidr-ranges \
    | --remove-filter-cidr-ranges=[CIDR_RANGE,...] \
    | --set-filter-cidr-ranges=[CIDR_RANGE,...]] \
  [--add-filter-protocols=[PROTOCOL,...] | --clear-filter-protocols \
    | --remove-filter-protocols=[PROTOCOL,...] \
    | --set-filter-protocols=[PROTOCOL,...]] \
  [--add-mirrored-instances=[INSTANCE,...] | --clear-mirrored-instances \
    | --remove-mirrored-instances=[INSTANCE,...] \
    | --set-mirrored-instances=[INSTANCE,...]] \
  [--add-mirrored-subnets=[SUBNET,...] | --clear-mirrored-subnets \
    | --remove-mirrored-subnets=[SUBNET,...] \
    | --set-mirrored-subnets=[SUBNET,...]] \
  [--add-mirrored-tags=[TAG,...] | --clear-mirrored-tags \
    | --remove-mirrored-tags=[TAG,...] | --set-mirrored-tags=[TAG,...]]

Reemplaza lo siguiente:

POLICY_NAME: el nombre de la política de duplicación de paquetes que deseas modificar.
FORWARDING_RULE_NAME: el nombre de la regla de reenvío configurada como colector. Google Cloud envía todo el tráfico duplicado al balanceador de cargas de red de transferencia interno asociado.
DESCRIPTION: una descripción de la política de duplicación de paquetes.
DIRECTION: la dirección del tráfico a la que se aplica la política de duplicación de paquetes. Las opciones son egress, ingress o both.
REGION: la región en la que se encuentra la política.
CIDR_RANGE: Uno o más rangos de CIDR IPv4 o IPv6 que quieras duplicar. Si no se especifican rangos de CIDR, se duplica todo el tráfico IPv4 que coincida con los protocolos especificados. Si no se especifican rangos de CIDR ni protocolos, se duplica todo el tráfico IPv4. Para duplicar todo el tráfico IPv4 e IPv6, usa 0.0.0.0/0,::/0. Puedes incluir rangos de CIDR IPv4 e IPv6. Puedes proporcionar varios rangos mediante una lista separada por comas.
PROTOCOL: Uno o más protocolos que quieras duplicar. Los valores válidos son tcp, udp, icmp, esp, ah, ipip, sctp o un número de protocolo IANA. Si no se especifican protocolos, se duplica el tráfico que coincida con los rangos de CIDR especificados. Si no se especifican protocolos ni rangos de CIDR, se duplica todo el tráfico IPv4. Si quieres especificar ICMP para IPv6, usa 58. Puedes proporcionar varios protocolos mediante una lista separada por comas.
INSTANCE: el ID completamente calificado de una o más instancias de VM que deseas duplicar. Puedes proporcionar varias instancias mediante una lista separada por comas.
SUBNET: una o más subredes. Puedes proporcionar varias subredes mediante una lista separada por comas. Google Cloud duplica instancias existentes y futuras en la subred.
TAG: una o más etiquetas de red. Puedes proporcionar varias etiquetas mediante una lista separada por comas.

API

Para actualizar una política de duplicación de paquetes, realiza una solicitud POST al método packetMirrorings.patch.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
{
  "name": "POLICY_NAME",
  "description": "DESCRIPTION",
  "priority": "PRIORITY",
  "collectorIlb": {
    "url": "FORWARDING_RULE_URL"
  },
  "mirroredResources": {
    "subnetworks": [
      {
        "url": "SUBNET_URL"
      }
    ],
    "instances": [
      {
        "url": "INSTANCE_URL"
      }
    ],
    "tags": [
      "NETWORK_TAGS"
    ]
  },
  "filter": {
    "cidrRanges": [
      "CIDR_RANGE"
    ],
    "IPProtocols": [
      "PROTOCOL"
    ],
    "direction": "DIRECTION"
  },
  "enable": "ENABLED"
}

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto en el que se almacena la política.
REGION: la región de la política de duplicación de paquetes.
POLICY_NAME: el nombre de la política de duplicación de paquetes que deseas modificar.
DESCRIPTION: una descripción opcional de la política.
PRIORITY: la prioridad de la política, que se usa para romper los vínculos cuando hay varias políticas coincidentes. El valor predeterminado es 1,000. El rango válido es de 0 a 65,535.
FORWARDING_RULE_URL: la URL de una regla de reenvío con la duplicación de paquetes habilitada. Google Cloud envía todo el tráfico duplicado al balanceador de cargas de red de transferencia interno asociado.
SUBNET_URL: la URL de una subred Google Cloud duplica instancias existentes y futuras en la subred. Puedes proporcionar varias subredes mediante una lista separada por comas.
INSTANCE_URL: la URL de una instancia de VM que deseas duplicar. Puedes proporcionar varias instancias mediante una lista separada por comas.
NETWORK_TAGS: una etiqueta de red. Google Cloud duplica las instancias que tengan una o más etiquetas de red. Puedes proporcionar varias etiquetas mediante una lista separada por comas.
CIDR_RANGE: Uno o más rangos de CIDR IPv4 o IPv6 que quieras duplicar. Si no se especifican rangos de CIDR, se duplica todo el tráfico IPv4 que coincida con los protocolos especificados. Si no se especifican rangos de CIDR ni protocolos, se duplica todo el tráfico IPv4. Para duplicar todo el tráfico IPv4 e IPv6, usa "0.0.0.0/0", "::/0". Puedes incluir rangos de CIDR IPv4 e IPv6. Puedes proporcionar varios rangos de CIDR con el siguiente formato: "192.0.2.0/24", "2001:DB8::/32".
IP_PROTOCOL: Uno o más protocolos. Las opciones son tcp, udp, icmp, esp, ah, ipip, sctp o un número de protocolo IANA. Si no se especifican protocolos, se duplica todo el tráfico que coincida con los rangos de CIDR especificados. Si no se especifican rangos de CIDR ni protocolos, se duplica todo el tráfico IPv4. Si quieres especificar ICMP para IPv6, usa 58. Puedes proporcionar varios protocolos con el siguiente formato: "icmp", "udp".
DIRECTION: la dirección del tráfico que se duplica. Las opciones son INGRESS, EGRESS o BOTH. El valor predeterminado es BOTH.
ENABLED: indica si la política está habilitada o no. Las opciones son TRUE o FALSE.

Enumera las políticas de duplicación de paquetes

Puedes enumerar las políticas de duplicación de paquetes para ver las políticas existentes.

Console

En la consola de Google Cloud, ve a la página Duplicación de paquetes.

Ir a Duplicación de paquetes

En la consola de Google Cloud, se enumeran todas las políticas en el proyecto.

gcloud

Para enumerar las políticas de duplicación de paquetes que se encuentran en el proyecto o en una región en particular, usa el comando packet-mirrorings list.

gcloud compute packet-mirrorings list \
  [--filter="region:(REGION...)"]

Reemplaza REGION por el nombre de la región que contiene las políticas que deseas incluir en la lista.

API

Para enumerar las políticas existentes de duplicación de paquetes de tu proyecto, realiza una solicitud GET al método packetMirrorings.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/aggregated/packetMirrorings

Reemplaza PROJECT_ID por el ID de tu proyecto.

Para enumerar las políticas existentes de duplicación de paquetes de una región en particular, realiza una solicitud GET al método packetMirrorings.list.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto que contiene las políticas que deseas enumerar
REGION: la región que contiene las políticas que deseas enumerar.

Describe una política de duplicación de paquetes

Puedes describir una política de duplicación de paquetes para ver los detalles, como los filtros de la política.

Console

En la consola de Google Cloud, ve a la página Duplicación de paquetes.

Ir a Duplicación de paquetes
En la lista de políticas de duplicación de paquetes, selecciona la que deseas ver. En la consola de Google Cloud, se muestran los detalles de la política que seleccionaste.

gcloud

Para describir una política de duplicación de paquetes, usa el comando packet-mirrorings describe.

gcloud compute packet-mirrorings describe POLICY_NAME \
  --region=REGION \

Reemplaza lo siguiente:

POLICY_NAME: el nombre de la política de duplicación de paquetes que deseas describir.
REGION: la región en la que se encuentra la política.

API

Para describir una política de duplicación de paquetes, realiza una solicitud GET al método packetMirrorings.get.

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto en el que se almacena la política.
REGION: la región en la que se encuentra la política.
POLICY_NAME: el nombre de la política de duplicación de paquetes que deseas describir.

Habilita o inhabilita una política de duplicación de paquetes

Puedes inhabilitar o habilitar una política de duplicación de paquetes para detener o iniciar la recopilación del tráfico duplicado.

Console

En la consola de Google Cloud, ve a la página Duplicación de paquetes.

Ir a Duplicación de paquetes
En la lista de políticas de duplicación de paquetes, selecciona la opción que quieres habilitar o inhabilitar.
Haz clic en Habilitar o Inhabilitar.
Para confirmar, haz clic en Habilitar o Inhabilitar.

gcloud

Para inhabilitar una política de duplicación de paquetes, usa el comando packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME \
  --region=REGION \
  --no-enable

Reemplaza lo siguiente:

POLICY_NAME: el nombre de la política de duplicación de paquetes que deseas habilitar o inhabilitar.
REGION: la región en la que se encuentra la política.

Para habilitar una política de duplicación de paquetes, usa el comando packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME \
  --region=REGION \
  --enable

Reemplaza lo siguiente:

POLICY_NAME: el nombre de la política de duplicación de paquetes que deseas habilitar o inhabilitar.
REGION: la región en la que se encuentra la política.

API

Para inhabilitar o habilitar una política de duplicación de paquetes existente, realiza una solicitud PATCH al método packetMirrorings.patch.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
{
  "enable": "FALSE|TRUE"
}

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto en el que se almacena la política.
REGION: la región en la que se encuentra la política.
POLICY_NAME: el nombre de la política de duplicación de paquetes que deseas inhabilitar.

Borra una política de duplicación de paquetes

Puedes borrar una política de duplicación de paquetes para quitarla del proyecto. Después de borrar una política, Google Cloud deja de duplicar todo el tráfico relacionado con la política.

Console

En la consola de Google Cloud, ve a la página Duplicación de paquetes.

Ir a Duplicación de paquetes
En la lista de políticas de duplicación de paquetes, selecciona la que deseas borrar.
Haz clic en Borrar.
Haz clic en Borrar para confirmar la acción.

gcloud

Para borrar una política de duplicación de paquetes, usa el comando packet-mirrorings delete.

gcloud compute packet-mirrorings delete POLICY_NAME \
  --region=REGION \

Reemplaza lo siguiente:

POLICY_NAME: el nombre de la política de duplicación de paquetes que deseas borrar.
REGION: la región en la que se encuentra la política.

API

Para borrar una política de duplicación de paquetes, realiza una solicitud DELETE al método packetMirrorings.delete.

DELETE https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME

Reemplaza lo siguiente:

PROJECT_ID: el ID del proyecto en el que se almacena la política.
POLICY_NAME: el nombre de la política de duplicación de paquetes que deseas borrar.
REGION: la región en la que se encuentra la política.

Soluciona problemas

Si la política de duplicación de paquetes no recopila el tráfico duplicado deseado, verifica las siguientes configuraciones:

Comprueba que tengas reglas de firewall que permitan el tráfico de las instancias duplicadas a las instancias de colector.
Comprueba que los orígenes de duplicación incluyan o excluyan las instancias que se duplicarán. Por ejemplo, si especificas una subred como un origen de duplicación, todas las instancias existentes y futuras de la subred se duplican. Si especificas etiquetas, solo se duplican las instancias que tienen etiquetas coincidentes.
Comprueba que los filtros de duplicación de paquetes no sean demasiado amplios ni demasiado reducidos. Es posible que hayas configurado filtros de manera involuntaria para incluir o excluir cierto tráfico.
Si configuraste una política de duplicación de paquetes para recopilar el tráfico IPv6, asegúrate de que las fuentes del tráfico duplicado sean VMs de pila doble que estén conectadas a subredes de pila doble.