Registros de flujo de VPC

Los registros de flujo de VPC muestrean los paquetes en tu red de nube privada virtual (VPC) para generar registros de flujo. Los registros de flujo se agregan por conexión IP (5 tuplas). Los registros de flujo de VPC muestrean los siguientes paquetes:

Puedes ver los registros de flujo en Cloud Logging y los puedes exportar a cualquier destino que admita la exportación de Cloud Logging. Estos registros se pueden usar para supervisar redes, realizar análisis forense y de seguridad, y optimizar gastos.

Para obtener más información, consulta Parámetros de configuración compatibles.

Casos de uso

Supervisión de red

Los registros de flujo de VPC te permiten ver la capacidad de procesamiento y el rendimiento de la red. Puedes hacer lo siguiente:

  • Supervisar la red de VPC
  • Realizar diagnósticos de la red
  • Filtrar los registros de flujo por VMs, adjuntos de VLAN y túneles de Cloud VPN para comprender los cambios en el tráfico
  • Comprender el crecimiento del tráfico para realizar una previsión de la capacidad

Comprende el uso de la red y optimiza los gastos de tráfico de red

Puedes analizar el uso de la red con los registros de flujo de VPC para optimizar los gastos del tráfico de red. Por ejemplo, puedes analizar los siguientes elementos del flujo de la red:

  • El tráfico entre regiones y zonas
  • El tráfico de Internet hacia países específicos
  • El tráfico a redes locales y otras redes de nube
  • Los principales usuarios de la red, incluidas las VMs, los adjuntos de VLAN y los túneles de Cloud VPN

Análisis forense de la red

Puedes usar el registro de flujo de VPC para realizar un análisis forense de la red. Por ejemplo, si ocurre un incidente, puedes examinar los siguientes elementos:

  • Qué IP se comunicó con quién y en qué momento
  • Los IP comprometidos, a través del análisis del flujo de red de entrada y de salida

Parámetros de configuración admitidos

Puedes habilitar los registros de flujo de VPC a nivel de la organización y del proyecto. Una configuración de registros de flujo de VPC a nivel de la organización habilita los registros de flujo para todas las subredes, los adjuntos de VLAN y los túneles de Cloud VPN en todas las redes de VPC de la organización.

A nivel del proyecto, puedes habilitar los registros de flujo de VPC para redes de VPC, subredes, adjuntos de VLAN y túneles de Cloud VPN específicos.

Alcance de la configuración Genera registros de flujo para estos recursos Pasos para habilitar los registros
Organización
  • Todas las instancias de VM en todas las subredes de la organización
  • Todos los adjuntos de VLAN de la organización
  • Todos los túneles de Cloud VPN de la organización
 Habilita los registros de flujo de VPC para una organización (versión preliminar)
Red de VPC
  • Todas las instancias de VM en todas las subredes de la red de VPC
  • Todos los adjuntos de VLAN en la red de VPC
  • Todos los túneles de Cloud VPN en la red de VPC
 Habilita los registros de flujo de VPC para una red de VPC (versión preliminar)
Subred Todas las instancias de VM en una subred específica

Habilita los registros de flujo de VPC en una subred:
Adjunto de VLAN Un adjunto de VLAN específico Habilita los registros de flujo de VPC para un adjunto de VLAN
Túnel de Cloud VPN Un túnel de Cloud VPN específico Habilita los registros de flujo de VPC en un túnel de Cloud VPN

Puedes usar filtros para personalizar estos alcances de configuración. Para obtener más información, consulta Muestreo y procesamiento de registros.

Recopilación de registros

Los paquetes se muestrean dentro de un intervalo de agregación. Todos los paquetes recopilados para una conexión IP determinada dentro del intervalo de agregación se agregan en una sola entrada de registro de flujo. Luego, estos datos se envían a Logging en el proyecto Trusted Cloud de la red de VPC que informó el flujo.

Los registros se almacenan en Logging durante 30 días de forma predeterminada. Si quieres conservar los registros por más tiempo, puedes configurar un período de retención personalizado o exportarlos a un destino admitido.

Muestreo y procesamiento de registros

Para generar registros de flujo, los de VPC muestrean los paquetes que entran y salen de una VM o pasan por una puerta de enlace, como un adjunto de VLAN o un túnel de Cloud VPN. Después de que se generan los registros de flujo, los registros de flujo de VPC los procesan siguiendo el procedimiento que se describe en esta sección.

Los registros de flujo de VPC toman muestras de paquetes con una tasa de muestreo principal. La tasa de muestreo principal es dinámica y varía según la carga del host físico que ejecuta la VM o la puerta de enlace en el momento del muestreo. La probabilidad de muestrear cualquier conexión de IP única aumenta con el volumen de paquetes. No puedes controlar el proceso de muestreo del registro de flujo principal ni ajustar la tasa de muestreo principal.

Después de que se generan los registros de flujo, los registros de flujo de VPC los procesan de acuerdo con el siguiente procedimiento:

  1. Filtros: Puedes especificar que solo se generen los registros que coinciden con los criterios especificados. Por ejemplo, puedes filtrar con el objetivo de que solo se generen registros para una VM en particular o solo los registros con un valor de metadatos específico y se descarte el resto. Para obtener más información, consulta Filtrado de registros.
  2. Agregación: La información de los paquetes de muestra se agrega en un intervalo de agregación configurable para producir una entrada de registro de flujo.
  3. Muestreo secundario del registro de flujo: Este es un segundo proceso de muestreo. Las entradas del registro de flujo también se muestrean según un parámetro configurable de tasa de muestreo secundaria. El muestreo secundario se realiza en los registros de flujo generados por el proceso de muestreo de registros de flujo primario. Por ejemplo, si la tasa de muestreo secundaria se establece en 1.0, o en un 100%, los registros de flujo de VPC muestrean el 100% de los registros generados por el proceso principal.
  4. Metadatos: Si se inhabilita, se descartan todas las anotaciones de metadatos. Si deseas conservar los metadatos, puedes especificar que se conserven todos los campos o un conjunto de campos especificado. Para obtener más información, consulta Anotaciones de metadatos.
  5. Escritura en Logging: Las entradas finales de registro se escriben en Cloud Logging.

Debido a que los registros de flujo de VPC no capturan todos los paquetes, compensa los paquetes perdidos a través de la interpolación de los paquetes capturados. Esto sucede para los paquetes que se pierden debido a la configuración de muestreo inicial y configurable por el usuario.

A pesar de que Trusted Cloud no captura todos los paquetes, las capturas de registros pueden ser bastante grandes. Para equilibrar las necesidades de visibilidad del tráfico y de costo de almacenamiento, ajusta los siguientes aspectos de la recopilación de registros:

  • Intervalo de agregación: Los paquetes de muestra de un intervalo de tiempo se agregan en una sola entrada de registro. Este intervalo de tiempo puede ser de 5 segundos (predeterminado), 30 segundos, 1 minuto, 5 minutos, 10 minutos o 15 minutos.
  • Tasa de muestreo secundaria:
    • En el caso de los parámetros de configuración que se crearon con la API de Compute Engine, se conserva el 50% de las entradas de registro de forma predeterminada. Puedes configurar este parámetro de 1.0 (un 100%, se conservan todas las entradas de registro) a 0.0 (un 0%, no se conserva ningún registro).
    • En el caso de los parámetros de configuración que se crearon con la API de Network Management, se conserva el 100% de las entradas de registro de forma predeterminada. Puedes configurar este parámetro de 1.0 a un valor superior a 0.0.
  • Anotaciones de metadatos: De forma predeterminada, se anotan las entradas del registro de flujo con información de metadatos, como los nombres de origen y de destino en Trusted Cloud , o la región geográfica de fuentes y destinos externos. Las anotaciones de metadatos se pueden desactivar, o puedes especificar solo ciertas anotaciones para ahorrar espacio de almacenamiento.
  • Filtros: De forma predeterminada, se generan registros para cada flujo de muestra. Puedes establecer filtros para que solo se generen registros que coincidan con ciertos criterios.

Especificaciones

  • Los registros de flujo de VPC no presentan demoras ni penalizaciones de rendimiento cuando se habilitan.
  • Los registros de flujo de VPC funcionan con redes de VPC, no con redes heredadas.
  • Los registros de flujo de VPC realizan un muestreo de los flujos de TCP, UDP, ICMP, ESP y GRE. Se realizan muestreos de los flujos entrantes y salientes. Estos flujos pueden ser en Trusted Cloud o entre Trusted Cloud y otras redes. Si se captura un flujo a través del muestreo, los registros de flujo de VPC generan un registro para el flujo. Cada informe de flujo incluye la información que se describe en la sección Formato del registro.
  • Los registros de flujo de VPC interactúan con reglas de firewall de las siguientes maneras:
    • Los paquetes de salida se muestrean antes de las reglas de firewall de salida. Incluso si una regla de firewall de salida rechaza los paquetes salientes, los registros de flujo de VPC pueden muestrear esos paquetes.
    • Los paquetes de entrada se muestrean después de las reglas de firewall de entrada. Si una regla de firewall de entrada deniega paquetes entrantes, los registros de flujo de VPC no muestrean esos paquetes.
  • Puedes usar filtros en los registros de flujo de VPC para generar solo ciertos registros.
  • Los registros de flujo de VPC admiten las VMs que tienen interfaces de red múltiples. Debes habilitar los registros de flujo de VPC para cada subred, en cada VPC, que contenga una interfaz de red.
  • Para registrar flujos entre Pods en el mismo nodo de Google Kubernetes Engine (GKE), debes habilitar la visibilidad dentro de los nodos del clúster.
  • Los registros de flujo de VPC no se informan desde los recursos de Cloud Run.

¿Qué sigue?