虛擬私有雲流量記錄
虛擬私有雲流量記錄會從您的虛擬私有雲 (VPC) 網路中取樣封包,藉此產生流量記錄。系統會依 IP 連線 (5 元組) 匯總流量記錄。虛擬私有雲流量記錄會取樣下列封包:
- 虛擬機器 (VM) 執行個體收發的封包,包括做為 Google Kubernetes Engine 節點 的執行個體
- 透過 Cloud Interconnect 和 Cloud VPN 通道 VLAN 連結傳送的封包
您可以在 Cloud Logging 中查看流量記錄,並將記錄檔匯出至 Cloud Logging 匯出功能支援的任何目的地。這類記錄可用於網路監控、鑑識、安全性分析和支出最佳化。
詳情請參閱「支援的設定」。
用途
網路監控
虛擬私有雲流量記錄可讓您掌握網路傳輸量和效能。您可以:
- 監控虛擬私人雲端網路
- 執行網路診斷
- 依 VM、VLAN 連結和 Cloud VPN 通道篩選流量記錄,以利瞭解流量變化
- 瞭解流量增加情形,以利預測容量
瞭解網路用量並調整最理想的網路流量費用
您可以使用虛擬私有雲流量記錄檔分析網路用量,藉此降低網路流量費用。舉例來說,您可以分析下列項目的網路流量:
- 地區和區域之間的流量
- 網際網路上傳送至特定國家/地區的流量
- 傳入地端部署和其他雲端網路的流量
- 網路中的主要通訊者,包括 VM、VLAN 連結和 Cloud VPN 通道
網路識別
您可以使用虛擬私有雲流程記錄檔進行網路鑑識。舉例來說,您可以在事件發生時檢查以下事項:
- 哪個 IP 在何時與什麼對象通訊
- 分析所有內送或外送的網路流程,確認是否有 IP 遭到入侵
支援的設定
您可以在組織和專案層級啟用虛擬私有雲流量記錄。組織層級的虛擬私有雲流量記錄設定會為組織中所有虛擬私有雲網路中的所有子網路、VLAN 連結和 Cloud VPN 通道啟用流量記錄。
您可以在專案層級為特定虛擬私有雲網路、子網路、VLAN 連結和 Cloud VPN 通道啟用虛擬私有雲流量記錄。
| 設定範圍 | 為這些資源產生流程記錄 | 啟用步驟 |
|---|---|---|
| 機構 |
|
為組織啟用虛擬私有雲流量記錄 (預先發布版) |
| 虛擬私有雲網路 |
|
為虛擬私有雲網路啟用虛擬私有雲流量記錄 (預先發布版) |
| 子網路 | 特定子網路中的所有 VM 執行個體 | 為子網路啟用虛擬私有雲流量記錄: |
| VLAN 連結 | 特定 VLAN 連結 | 為 VLAN 連結啟用虛擬私有雲流量記錄 |
| Cloud VPN 通道 | 特定 Cloud VPN 通道 | 為 Cloud VPN 通道啟用虛擬私有雲流量記錄 |
您可以使用篩選器自訂這些設定範圍。詳情請參閱「記錄檔取樣與處理」。
記錄收集
系統會在匯總間隔內取樣封包。在匯總間隔內針對特定 IP 連線收集的所有封包,都會匯總到單一流程記錄項目中。接著,這項資料會傳送至回報流量的虛擬私有雲網路 Trusted Cloud 專案中的Logging。
根據預設,記錄會在 Logging 中儲存 30 天。如果想將記錄保留更久,可以設定自訂保留期限,或是匯出記錄至支援的目的地。
記錄取樣和處理
為了產生流量記錄,虛擬私有雲流量記錄會對進出 VM 或通過閘道 (例如 VLAN 連結或 Cloud VPN 通道) 的封包進行取樣。產生流量記錄後,虛擬私有雲流量記錄會依照本節所述程序處理這些記錄。
虛擬私有雲流量記錄檔會使用初級取樣率取樣封包。主要取樣率為動態值,取決於在取樣期間執行 VM 或閘道的實體主機負載。任何單一 IP 連線的取樣機率會隨著封包數量增加。您無法控制主要流量記錄檔取樣程序或調整主要取樣率。
產生流量記錄後,虛擬私有雲流量記錄會依照下列程序處理:
- 篩選:您可以指定只產生符合指定條件的記錄。舉例來說,您可以篩選記錄,只產生特定 VM 的記錄,或只產生具有特定中繼資料值的記錄,而捨棄其他記錄。詳情請參閱「篩選記錄」。
- 匯總:系統會匯總這個期間內取樣封包的資訊,產生流程記錄項目。
- 次級流量記錄檔取樣:這是第二個取樣程序。系統會根據可設定的次要取樣率參數,進一步對流程記錄項目進行取樣。次級取樣作業的取樣對象,是初級流量記錄檔取樣程序產生的流量記錄。舉例來說,如果次級取樣率設為 1.0 或 100%,則對於由初級流量記錄檔取樣作業所產生的流量記錄檔,虛擬私有雲流量記錄會 100% 取樣。
- 中繼資料:如果停用,系統會捨棄所有中繼資料註解。如果您想保留中繼資料,可以指定保留所有欄位或指定的欄位組合。詳情請參閱「中繼資料註解」。
- 寫入 Logging:最終的記錄項目會寫入 Cloud Logging。
由於虛擬私有雲端流程記錄不會擷取每個封包,因此會透過擷取的封包內插,補足遺漏的封包。這會發生在因初始和使用者設定的取樣設定而遺漏的封包。
雖然 Trusted Cloud 不會擷取每個封包,但記錄擷取的資料量可能會相當大。您可以對記錄收集的下列方面進行調整,以在流量瀏覽權限與儲存費用需求之間取得平衡:
- 匯總間隔:系統會將某個時間間隔的取樣封包匯總到單一記錄項目中。這個時間間隔可以是 5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。
- 次級取樣率:
- 對於使用 Compute Engine API 建立的設定,預設會保留 50% 的記錄項目。您可以將這個參數從
1.0(100%,即會保留所有記錄項目) 設定為0.0(0%,即不會保留任何項目)。 - 對於使用 Network Management API 建立的設定,預設會保留 100% 的記錄項目。您可以將這個參數從
1.0設為大於0.0。
- 對於使用 Compute Engine API 建立的設定,預設會保留 50% 的記錄項目。您可以將這個參數從
- 中繼資料註解:根據預設,流程記錄項目會以中繼資料資訊加註,例如來源與目的地 VM 的名稱,或外部來源與目的地的地理地區。 Trusted Cloud 您可以關閉中繼資料註解,或只指定特定註解,以節省儲存空間。
- 篩選:根據預設,系統會為每個取樣的流程產生記錄。您可以設定篩選器,只產生符合特定條件的記錄。
規格
- 啟用虛擬私有雲流量記錄檔後,不會造成延遲或效能損失。
- 虛擬私有雲流程記錄可與虛擬私有雲網路搭配使用,但無法搭配舊版網路使用。
- 虛擬私有雲流量記錄會取樣 TCP、UDP、ICMP、ESP 和 GRE 流量。系統會對傳入和傳出流量進行取樣。這些流量可以是 Trusted Cloud 內部或 Trusted Cloud 與其他網路之間的流量。如果流程是由取樣作業擷取,虛擬私有雲流量記錄會為該流程產生記錄。每項流程記錄都會包含記錄格式一節說明的資料。
- 虛擬私有雲流程記錄會以以下方式與防火牆規則互動:
- 系統會在輸出防火牆規則「之前」對輸出封包進行取樣。即使輸出防火牆規則拒絕傳出封包,這些封包仍可由虛擬私有雲流程記錄進行取樣。
- 系統會在輸入防火牆規則之後,對輸入封包進行取樣。如果輸入防火牆規則拒絕輸入封包,VPC 流量記錄就不會擷取這些封包。
- 您可以在 VPC 流量記錄檔中使用篩選器,只產生特定記錄。
- 虛擬私有雲流程記錄支援具有多個網路介面的 VM。您必須為每個 VPC 中的每個子網路 (含有網路介面) 啟用虛擬私有雲流量記錄。
- 如要記錄相同 Google Kubernetes Engine (GKE) 節點上的 Pod 之間的流量,您必須為叢集啟用節點內可見性。
- Cloud Run 資源不會回報虛擬私有雲流量記錄。
後續步驟
- 如要進一步瞭解虛擬私有雲流量記錄格式,以及可用的中繼資料註解,請參閱「關於虛擬私有雲流量記錄」。
- 如要查看為各種用途收集的虛擬私有雲流量記錄檔範例,請參閱「關於流量流程」。
- 如要開始回報子網路的流量,請參閱「設定虛擬私有雲流量記錄」。