Utilizzo del Mirroring pacchetto

Puoi utilizzare Mirroring pacchetto per eseguire il mirroring del traffico da e verso determinate istanze di macchine virtuali (VM). Il traffico raccolto può aiutarti a rilevare minacce alla sicurezza e monitorare le prestazioni delle applicazioni. Per informazioni dettagliate sul Mirroring pacchettoi, vedi Mirroring dei pacchetti.

Il traffico sottoposto a mirroring viene inviato alle VM in cui hai installato il software appropriato. Per un elenco dei fornitori che forniscono software, consulta Provider partner del Mirroring pacchetto.

Le sezioni seguenti descrivono come creare e gestire i criteri di mirroring dei pacchetti.

Limitazioni

  • Mirroring pacchetto non può eseguire il mirroring dei pacchetti per il traffico dei servizi pubblicati di Private Service Connect.

  • Per motivi di sicurezza, Mirroring pacchetto non esegue il mirroring dei pacchetti inviati all'intervallo di indirizzi IP link-local 169.254.0.0/16. Questo intervallo include le richieste di metadati da una VM al relativo server di metadati.

  • L'utilizzo di un servizio LoadBalancer di Google Kubernetes Engine (GKE) come raccoglitore di mirroring dei pacchetti non è supportato.

  • Se un criterio di mirroring dei pacchetti potrebbe essere applicato alle istanze del raccoglitore, Mirroring pacchetto le ignora e non esegue il mirroring del traffico.

  • Quando i pacchetti vengono sottoposti a mirroring, Trusted Cloud elabora sia i pacchetti originali sia quelli sottoposti a mirroring, il che rallenta la velocità di elaborazione dei pacchetti. La velocità di elaborazione dei pacchetti per il traffico combinato è simile alle velocità in uscita al di fuori di una rete VPC e dipende da fattori tra cui:

    • Il tipo di macchina e l'utilizzo della CPU della VM sottoposta a mirroring.
    • La dimensione del pacchetto del traffico sottoposto a mirroring.

  • Quando i pacchetti di rete corrispondono a un criterio di mirroring, Mirroring pacchetto elabora i pacchetti originali e quelli sottoposti a mirroring a una velocità inferiore. La velocità combinata di elaborazione dei pacchetti dipende dal tipo di macchina, dalle dimensioni dei pacchetti e dall'utilizzo della CPU ed è approssimativamente simile alle tariffe di uscita al di fuori di una rete VPC.

Prima di iniziare

Prima di creare un criterio di mirroring pacchetto, devi disporre delle autorizzazioni appropriate. Devi anche creare un bilanciatore del carico di rete passthrough interno che funga da destinazione del collettore. Questo bilanciatore del carico di rete passthrough interno richiede un gruppo di istanze in modo che il servizio di backend possa utilizzare le VM come destinazioni del raccoglitore.

Autorizzazioni

Per creare e gestire i criteri di mirroring pacchetto, Trusted Cloud fornisce due ruoli correlati a Mirroring pacchetto:

  • compute.packetMirroringUser concede agli utenti l'autorizzazione per creare, aggiornare ed eliminare criteri di mirroring dei pacchetti. Per utilizzare Mirroring pacchetto, gli utenti devono disporre di questo ruolo nei progetti in cui creano criteri di mirroring dei pacchetti.

  • compute.packetMirroringAdmin concede agli utenti l'autorizzazione per eseguire il mirroring di risorse specifiche. Anche se gli utenti dispongono dell'autorizzazione per creare un criterio di mirroring pacchetto, hanno comunque bisogno dell'autorizzazione per eseguire il mirroring delle origini correlate. Utilizza questo ruolo nei progetti in cui il proprietario di un criterio potrebbe non disporre di altre autorizzazioni, ad esempio negli scenari VPC condiviso.

Per ulteriori informazioni sull'utilizzo dei ruoli IAM, consulta Gestire l'accesso a progetti, cartelle e organizzazioni nella documentazione IAM.

Crea istanze del raccoglitore

Mirroring pacchetto richiede un gruppo di istanze di raccolta. Per informazioni dettagliate sui gruppi di istanze, consulta la seguente documentazione: Crea un nuovo modello di istanza e Crea un gruppo di istanze gestite in una singola zona.

Crea un bilanciatore del carico interno per il Mirroring pacchetto

Per abilitare il mirroring pacchetto, devi disporre di un bilanciatore del carico di rete passthrough interno che possa fungere da raccoglitore di mirroring pacchetto. Il bilanciatore del carico di rete passthrough interno deve soddisfare i seguenti requisiti:

  • La regola di forwarding del bilanciatore del carico di rete passthrough interno deve avere il mirroring pacchetto abilitato al momento della creazione della regola. Questo stato non può essere modificato dopo la creazione della regola. Puoi utilizzare questa regola di forwarding per raccogliere il traffico IPv4 e IPv6.
  • Il bilanciatore del carico di rete passthrough interno si trova nella stessa regione delle istanze di cui esegui il mirroring.
  • Il servizio di backend del bilanciatore del carico di rete passthrough interno deve utilizzare un'affinità sessione di NONE (hash a 5 tuple).
  • Il servizio di backend del bilanciatore del carico di rete passthrough interno deve avere il sottoinsieme di backend disattivato.

Se le istanze del collettore non sono configurate per rispondere al controllo di integrità che hai configurato con il servizio di backend, il controllo di integrità può non riuscire. In questo caso, i pacchetti possono comunque essere sottoposti a mirroring.

Per ulteriori informazioni su come creare un bilanciatore del carico di rete passthrough interno per Mirroring pacchetto, consulta Creazione di un bilanciatore del carico per Packet Mirroring.

Configurazione delle regole del firewall

Per preparare la rete VPC al traffico di Mirroring pacchetto, esegui le seguenti operazioni:

  • Assicurati che le istanze del raccoglitore nel gruppo di istanze del bilanciatore del carico possano ricevere traffico dalle istanze sottoposte a mirroring o dagli intervalli di indirizzi IPv4 e IPv6 delle istanze sottoposte a mirroring. Ad esempio, per consentire alle istanze del collettore di ricevere traffico IPv4 da qualsiasi VM, crea una regola firewall con un intervallo di indirizzi IPv4 di origine 0.0.0.0/0. Per consentire alle istanze del collettore di ricevere traffico IPv6 da qualsiasi VM, crea una regola firewall con un intervallo di indirizzi IPv6 di origine ::/0. Per impedire al traffico internet di raggiungere le istanze del raccoglitore, assegna loro solo indirizzi IPv4 e IPv6 interni.

  • Assicurati che le istanze del collettore possano ricevere traffico dai sistemi di controllo di integrità Trusted Cloud by S3NS. Ad esempio, per il traffico IPv4, crea una regola firewall che consenta il traffico verso le istanze del collettore dagli intervalli di indirizzi IPv4 di 130.211.0.0/22 e 35.191.0.0/16. Per il traffico IPv6, crea una regola firewall che consenta il traffico alle istanze del collettore dall'intervallo di indirizzi IPv6 di 2600:2d00:1:b029::/64.

  • Se vuoi testare Mirroring pacchetto inviando manualmente il traffico in uscita da una o più istanze sottoposte a mirroring, crea una regola firewall che consenta il traffico SSH a queste istanze. Ad esempio, per consentire le connessioni SSH alle istanze sottoposte a mirroring da tutti gli indirizzi IPv4 e IPv6, consenti il traffico TCP alla porta 22 da qualsiasi indirizzo IPv4 e IPv6 di origine. Se vuoi consentire solo le connessioni SSH avviate da un determinato intervallo di indirizzi IPv4 o IPv6, specifica l'intervallo di indirizzi IPv4 o IPv6 come intervallo di origine per la regola firewall. Per ulteriori informazioni sul test del bilanciatore del carico di rete passthrough interno, vedi Testare il bilanciamento del carico.

Se non disponi di regole esistenti che consentono questo traffico, consulta la sezione Utilizzare le regole firewall VPC per crearle. Per ulteriori informazioni sulla creazione di regole firewall per un bilanciatore del carico di rete pass-through interno, consulta Configurazione delle regole firewall nella documentazione di Cloud Load Balancing.

Crea una policy di mirroring dei pacchetti

Per iniziare a eseguire il mirroring del traffico da e verso istanze specifiche, crea un criterio di mirroring dei pacchetti. Trusted Cloud esegue il mirroring di qualsiasi istanza che corrisponda ad almeno una delle origini specificate.

Console

  1. Nella console Trusted Cloud , vai alla pagina Packet Mirroring.

    Vai a Mirroring pacchetto

  2. Fai clic su Crea criterio.

  3. Inserisci le seguenti informazioni sulle norme e poi fai clic su Continua.

    1. Inserisci un nome per la policy.
    2. Seleziona la regione che include le origini sottoposte a mirroring e la destinazione del raccoglitore. La policy di mirroring dei pacchetti deve trovarsi nella stessa regione dell'origine e della destinazione.
    3. Ignora il campo Priorità. Al momento non è possibile regolarlo.
    4. Seleziona Attivata per attivare la policy al momento della creazione.

  4. Seleziona le reti VPC in cui si trovano l'origine sottoposta a mirroring e la destinazione del raccoglitore, quindi fai clic su Continua.

    L'origine e la destinazione possono trovarsi nella stessa rete VPC o in reti VPC diverse.

    • Se si trovano nella stessa rete VPC, seleziona Origini sottoposte a mirroring e destinazione nella stessa rete VPC e poi seleziona la rete.
    • Se si trovano in reti diverse, seleziona Origine sottoposta a mirroring e destinazione raccoglitore in reti VPC in peering separate e poi seleziona la rete di origine sottoposta a mirroring e la rete di destinazione raccoglitore.

  5. Seleziona le fonti sottoposte a mirroring e poi fai clic su Continua. Puoi selezionare una o più origini. Trusted Cloud Viene eseguito il mirroring di qualsiasi istanza che corrisponde ad almeno una delle origini selezionate.

    • Subnet: seleziona una o più subnet. Trusted Cloud esegue il mirroring delle istanze esistenti e future nelle subnet selezionate.
    • Tag di rete: specifica uno o più tag di rete. Trusted Cloud Esegue il mirroring delle istanze che hanno almeno uno dei tag specificati.
    • Nome istanza: seleziona istanze specifiche da sottoporre a mirroring.

  6. Seleziona un bilanciatore del carico di rete passthrough interno configurato per Mirroring pacchetto e fai clic su Continua. Trusted Cloud invia il traffico sottoposto a mirroring alle istanze che si trovano dietro il bilanciatore del carico di rete passthrough interno.

    Per il VPC condiviso, se la destinazione raccoglitore e le origini sottoposte a mirroring si trovano nella stessa rete VPC condivisa, devi selezionare il progetto in cui si trova la destinazione raccoglitore, quindi seleziona un bilanciatore del carico.

  7. Per selezionare il traffico di cui eseguire il mirroring:

    • Per eseguire il mirroring di tutto il traffico IPv4, seleziona Mirroring di tutto il traffico IPv4 (impostazione predefinita).
    • Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, seleziona Esegui il mirroring del traffico filtrato e poi procedi nel seguente modo:
      • Seleziona Consenti tutti i protocolli.
      • Seleziona Consenti tutti gli intervalli IPv4 (0.0.0.0/0).
      • Seleziona Consenti tutti gli intervalli IPv6 (::/0).
      • Seleziona Consenti il traffico in entrata e in uscita.

    • Per limitare il traffico sottoposto a mirroring, seleziona Esegui il mirroring del traffico filtrato e poi procedi nel seguente modo:

      • Per limitare il traffico sottoposto a mirroring in base al protocollo, seleziona Consenti protocolli specifici, quindi seleziona i protocolli. Se non vedi un protocollo per cui vuoi eseguire il mirroring del traffico, seleziona Altri protocolli e poi inserisci il protocollo nel campo Altri protocolli. I valori validi sono tcp, udp, esp, ah, ipip, sctp o un numero di protocollo IANA. Per specificare ICMP per IPv6, inserisci 58.

      • Per i filtri per l'intervallo IPv4, segui questi passaggi:

        • Per eseguire il mirroring di tutto il traffico IPv4, seleziona Consenti tutti gli intervalli IPv4 (0.0.0.0/0).
        • Per eseguire il mirroring del traffico per intervalli di indirizzi IPv4 specifici, seleziona Consenti intervalli IPv4 specifici. Nel campo Intervalli IPv4, digita un singolo intervallo di indirizzi IPv4, quindi premi Invio. Puoi aggiungere più intervalli IPv4 premendo Invio dopo ogni intervallo digitato.

      • Per i filtri per l'intervallo IPv6:

        • Per filtrare tutto il traffico IPv6, seleziona Nessuno.
        • Per eseguire il mirroring di tutto il traffico IPv6, seleziona Consenti tutti gli intervalli IPv6 (::/0).
        • Per eseguire il mirroring del traffico per intervalli di indirizzi IPv6 specifici, seleziona Consenti intervalli IPv6 specifici. Nel campo Intervalli IPv6, digita un singolo intervallo di indirizzi IPv6 e poi premi Invio. Puoi aggiungere più intervalli IPv6 premendo Invio dopo ogni intervallo che digiti.

  8. Seleziona la Direzione del traffico del traffico di cui vuoi eseguire il mirroring.

  9. Per creare la policy di mirroring pacchetto, fai clic su Invia.

gcloud

Per creare una policy di mirroring pacchetto, utilizza il comando packet-mirrorings create.

gcloud compute packet-mirrorings create POLICY_NAME \
    --region=REGION \
    --network=NETWORK_NAME \
    --collector-ilb=FORWARDING_RULE_NAME \
    [--mirrored-subnets=SUBNET,[SUBNET,...]] \
    [--mirrored-tags=TAG,[TAG,...]] \
    [--mirrored-instances=INSTANCE,[INSTANCE,...]] \
    [--filter-cidr-ranges=CIDR_RANGE,[CIDR_RANGE,...]] \
    [--filter-protocols=PROTOCOL,[PROTOCOL,...]] \
    [--filter-direction=DIRECTION]

Sostituisci quanto segue:

  • POLICY_NAME: il nome della policy di mirroring dei pacchetti.
  • REGION: la regione in cui si trovano le origini sottoposte a mirroring e la destinazione del raccoglitore.
  • NETWORK_NAME: la rete in cui si trovano le origini sottoposte a mirroring.
  • FORWARDING_RULE_NAME: il nome della regola di forwarding configurata come collector di mirroring. Trusted Cloud invia tutto il traffico sottoposto a mirroring al bilanciatore del carico di rete passthrough interno associato.
  • SUBNET: il nome di una o più subnet da eseguire il mirroring. Puoi fornire più subnet utilizzando un elenco separato da virgole. Trusted Cloud rispecchia le istanze esistenti e future nella subnet.
  • TAG: uno o più tag di rete. Trusted Cloud Rispecchia le istanze che hanno il tag di rete. Puoi fornire più tag utilizzando un elenco separato da virgole.
  • INSTANCE: l'ID completo di una o più istanze da eseguire il mirroring. Puoi fornire più istanze utilizzando un elenco separato da virgole.
  • CIDR_RANGE: uno o più intervalli CIDR IPv4 o IPv6 da replicare. Se non vengono specificati intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4 che corrisponde ai protocolli specificati. Se non vengono specificati intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza 0.0.0.0/0,::/0. Puoi includere intervalli CIDR sia IPv4 sia IPv6. Puoi fornire più intervalli utilizzando un elenco separato da virgole.
  • PROTOCOL: uno o più protocolli da eseguire il mirroring. I valori validi sono tcp, udp, icmp, esp, ah, ipip, sctp o un numero di protocollo IANA. Se non vengono specificati protocolli, viene eseguito il mirroring di tutto il traffico che corrisponde agli intervalli CIDR specificati. Se non sono specificati né protocolli né intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4. Per specificare ICMP per IPv6, utilizza 58. Puoi fornire più protocolli utilizzando un elenco separato da virgole.
  • DIRECTION: la direzione del traffico da eseguire il mirroring rispetto alla VM. Per impostazione predefinita, questo valore è impostato su both, il che significa che viene eseguito il mirroring del traffico in entrata e in uscita. Puoi limitare i pacchetti acquisiti specificando ingress per acquisire solo i pacchetti in entrata o egress per acquisire solo i pacchetti in uscita.

Terraform

Puoi utilizzare una risorsa Terraform per creare un criterio di mirroring pacchetto.

resource "google_compute_packet_mirroring" "default" {
  region      = "europe-west1"
  name        = "my-mirroring"
  description = "My packet mirror"
  network {
    url = google_compute_network.ilb_network.id
  }
  collector_ilb {
    url = google_compute_forwarding_rule.default.id
  }
  mirrored_resources {
    tags = ["foo"]
    instances {
      url = google_compute_instance.vm_test.id
    }
  }
  filter {
    ip_protocols = ["tcp"]
    cidr_ranges  = ["0.0.0.0/0"]
    direction    = "BOTH"
  }
}

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base.

API

Per creare un criterio di mirroring pacchetto, invia una richiesta POST al metodo packetMirrorings.insert.

POST https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings
{
  "name": "POLICY_NAME",
  "enable": "ENABLED",
  "network": {
    "url": "NETWORK_URL"
  },
  "priority": PRIORITY,
  "mirroredResources": {
    "subnetworks": [
      {
        "url": "SUBNET_URL"
      }
    ],
    "tags": [
      "TAG"
    ],
    "instances": [
      {
        "url": "INSTANCE"
      }
    ]
  },
  "collectorIlb": {
    "url": "FORWARDING_RULE_URL"
  },
  "filter": {
    "IPProtocols": [
      "PROTOCOL"
    ],
    "cidrRanges": [
      "CIDR_RANGE"
    ],
    "direction": "DIRECTION"
  }
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui creare la policy.
  • REGION: la regione in cui si trovano le origini sottoposte a mirroring e la destinazione del raccoglitore.
  • POLICY_NAME: il nome della policy di mirroring dei pacchetti.
  • ENABLED: indica se questo criterio ha effetto o meno. Le opzioni sono TRUE e FALSE. TRUE è il valore predefinito.
  • NETWORK_URL: l'URL della rete in cui si trovano le origini duplicate.
  • PRIORITY: la priorità della regola di forwarding, che viene utilizzata per interrompere i collegamenti se esiste più di una regola corrispondente. L'intervallo valido è compreso tra 0 e 65.535 e il valore predefinito è 1000.
  • SUBNET_URL: l'URL di una subnet da eseguire il mirroring. Trusted Cloud Viene eseguito il mirroring delle istanze esistenti e future nella subnet. Puoi fornire più subnet utilizzando un elenco separato da virgole.
  • TAG: un tag di rete. Trusted Cloud replica le istanze che hanno il tag di rete. Puoi fornire più tag utilizzando un elenco separato da virgole.
  • INSTANCE: l'ID completo di un'istanza da eseguire il mirroring. Puoi fornire più istanze utilizzando un elenco separato da virgole.
  • FORWARDING_RULE_URL: l'URL di una regola di forwarding configurata come raccoglitore di mirroring. Trusted Cloud invia tutto il traffico sottoposto a mirroring al bilanciatore del carico di rete passthrough interno associato.
  • PROTOCOL: uno o più protocolli. Le opzioni sono tcp, udp, icmp, esp, ah, ipip, sctp o un numero di protocollo IANA. Se non vengono specificati protocolli, viene eseguito il mirroring di tutto il traffico che corrisponde agli intervalli CIDR specificati. Se non vengono specificati intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per specificare ICMP per IPv6, inserisci 58. Puoi fornire più protocolli utilizzando il seguente modulo: "icmp", "udp".
  • CIDR_RANGE: uno o più intervalli CIDR IPv4 o IPv6 da replicare. Se non vengono specificati intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4 che corrisponde ai protocolli specificati. Se non vengono specificati intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza "0.0.0.0/0", "::/0". Puoi includere intervalli CIDR sia IPv4 sia IPv6. Puoi fornire più intervalli CIDR utilizzando il seguente modulo: "192.0.2.0/24", "2001:0DB8::/32".
  • PROTOCOL: uno o più protocolli da eseguire il mirroring.
  • DIRECTION: la direzione del traffico di cui eseguire il mirroring. Le opzioni sono INGRESS, EGRESS o BOTH. Il valore predefinito è BOTH.

Verifica del mirroring pacchetto

Per verificare che le istanze del collector ricevano correttamente il traffico sottoposto a mirroring, puoi utilizzare tcpdump.

  1. Connettiti a un'istanza del raccoglitore.

  2. Se il comando tcpdump non è disponibile, installalo.

  3. Identifica l'interfaccia di rete:

    ip address

    Nell'elenco delle interfacce di rete, trova il nome associato all'indirizzo IPv4 interno principale dell'istanza del raccoglitore, ad esempio ens4.

  4. Inizia ad analizzare i pacchetti:

    sudo tcpdump -i INTERFACE_NAME -f "host IP_ADDRESS"

    Sostituisci quanto segue:

    • INTERFACE_NAME: il nome dell'interfaccia che hai identificato nel passaggio 3.
    • IP_ADDRESS: l'indirizzo IPv4 di una VM di origine mirrorata.

  5. Per eseguire il test, invia traffico dalla VM di origine sottoposta a mirroring, ad esempio inviando un ping ICMP. Nell'output di tcpdump, verifica di poter visualizzare il traffico previsto.

Modifica un criterio di mirroring pacchetto

Puoi aggiornare una policy esistente per modificare dettagli come le origini sottoposte a mirroring o le destinazioni del raccoglitore.

Console

  1. Nella console Trusted Cloud , vai alla pagina Packet Mirroring.

    Vai a Mirroring pacchetto

  2. Nell'elenco delle norme di mirroring dei pacchetti, fai clic su quella che vuoi modificare.

  3. Nella pagina dei dettagli del criterio, fai clic su Modifica.

  4. Modifica i campi che vuoi aggiornare. La console segue lo stesso flusso dei passaggi per la creazione di una norma. Per informazioni su ciascun campo, consulta Creare un criterio di mirroring dei pacchetti.

gcloud

Per aggiornare una policy di Mirroring pacchetto esistente, utilizza il comando packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME [--async] \
  [--collector-ilb=FORWARDING_RULE_NAME] [--description=DESCRIPTION] [--enable] \
  [--filter-direction=DIRECTION] [--region=REGION] \
  [--add-filter-cidr-ranges=[CIDR_RANGE,...] | --clear-filter-cidr-ranges \
    | --remove-filter-cidr-ranges=[CIDR_RANGE,...] \
    | --set-filter-cidr-ranges=[CIDR_RANGE,...]] \
  [--add-filter-protocols=[PROTOCOL,...] | --clear-filter-protocols \
    | --remove-filter-protocols=[PROTOCOL,...] \
    | --set-filter-protocols=[PROTOCOL,...]] \
  [--add-mirrored-instances=[INSTANCE,...] | --clear-mirrored-instances \
    | --remove-mirrored-instances=[INSTANCE,...] \
    | --set-mirrored-instances=[INSTANCE,...]] \
  [--add-mirrored-subnets=[SUBNET,...] | --clear-mirrored-subnets \
    | --remove-mirrored-subnets=[SUBNET,...] \
    | --set-mirrored-subnets=[SUBNET,...]] \
  [--add-mirrored-tags=[TAG,...] | --clear-mirrored-tags \
    | --remove-mirrored-tags=[TAG,...] | --set-mirrored-tags=[TAG,...]]

Sostituisci quanto segue:

  • POLICY_NAME: il nome della policy di mirroring dei pacchetti da modificare.
  • FORWARDING_RULE_NAME: il nome della regola di forwarding configurata come raccoglitore. Trusted Cloud invia tutto il traffico sottoposto a mirroring al bilanciatore del carico di rete passthrough interno associato.
  • DESCRIPTION: una descrizione della policy di mirroring pacchetto.
  • DIRECTION: la direzione del traffico a cui applicare la policy di mirroring pacchetto. Le opzioni sono egress, ingress o both.
  • REGION: la regione in cui si trova la policy.
  • CIDR_RANGE: uno o più intervalli CIDR IPv4 o IPv6 da eseguire il mirroring. Se non vengono specificati intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4 che corrisponde ai protocolli specificati. Se non vengono specificati intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza 0.0.0.0/0,::/0. Puoi includere intervalli CIDR sia IPv4 sia IPv6. Puoi fornire più intervalli utilizzando un elenco separato da virgole.
  • PROTOCOL: uno o più protocolli da eseguire il mirroring. I valori validi sono tcp, udp, icmp, esp, ah, ipip, sctp o un numero di protocollo IANA. Se non vengono specificati protocolli, il traffico che corrisponde agli intervalli CIDR specificati viene sottoposto a mirroring. Se non sono specificati né protocolli né intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4. Per specificare ICMP per IPv6, utilizza 58. Puoi fornire più protocolli utilizzando un elenco separato da virgole.
  • INSTANCE: l'ID completo di una o più istanze VM da eseguire il mirroring. Puoi fornire più istanze utilizzando un elenco separato da virgole.
  • SUBNET: una o più sottoreti. Puoi fornire più subnet utilizzando un elenco separato da virgole. Trusted Cloud rispecchia le istanze esistenti e future nella subnet.
  • TAG: uno o più tag di rete. Puoi fornire più tag utilizzando un elenco separato da virgole.

API

Per aggiornare una policy di Mirroring pacchetto, invia una richiesta POST al metodo packetMirrorings.patch.

PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
{
  "name": "POLICY_NAME",
  "description": "DESCRIPTION",
  "priority": "PRIORITY",
  "collectorIlb": {
    "url": "FORWARDING_RULE_URL"
  },
  "mirroredResources": {
    "subnetworks": [
      {
        "url": "SUBNET_URL"
      }
    ],
    "instances": [
      {
        "url": "INSTANCE_URL"
      }
    ],
    "tags": [
      "NETWORK_TAGS"
    ]
  },
  "filter": {
    "cidrRanges": [
      "CIDR_RANGE"
    ],
    "IPProtocols": [
      "PROTOCOL"
    ],
    "direction": "DIRECTION"
  },
  "enable": "ENABLED"
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui si trova la policy.
  • REGION: la regione della policy di mirroring pacchetto.
  • POLICY_NAME: il nome della policy di mirroring dei pacchetti da modificare.
  • DESCRIPTION: una descrizione facoltativa della policy.
  • PRIORITY: la priorità del criterio, che viene utilizzata per interrompere i collegamenti quando esistono più criteri corrispondenti. Il valore predefinito è 1000. L'intervallo valido è compreso tra 0 e 65.535.
  • FORWARDING_RULE_URL: l'URL di una regola di forwarding con Mirroring pacchetto abilitato. Trusted Cloud invia tutto il traffico sottoposto a mirroring al bilanciatore del carico di rete passthrough interno associato.
  • SUBNET_URL: l'URL di una subnet. Trusted Cloud riflette le istanze esistenti e future nella subnet. Puoi fornire più subnet utilizzando un elenco separato da virgole.
  • INSTANCE_URL: l'URL di un'istanza VM da eseguire il mirroring. Puoi fornire più istanze utilizzando un elenco separato da virgole.
  • NETWORK_TAGS: un tag di rete. Trusted Cloud riflette le istanze che hanno uno o più tag di rete. Puoi fornire più tag utilizzando un elenco separato da virgole.
  • CIDR_RANGE: uno o più intervalli CIDR IPv4 o IPv6 da eseguire il mirroring. Se non vengono specificati intervalli CIDR, viene eseguito il mirroring di tutto il traffico IPv4 che corrisponde ai protocolli specificati. Se non vengono specificati intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per eseguire il mirroring di tutto il traffico IPv4 e IPv6, utilizza "0.0.0.0/0", "::/0". Puoi includere intervalli CIDR sia IPv4 sia IPv6. Puoi fornire più intervalli CIDR utilizzando il seguente modulo: "192.0.2.0/24", "2001:DB8::/32".
  • IP_PROTOCOL: uno o più protocolli. Le opzioni sono tcp, udp, icmp, esp, ah, ipip, sctp o un numero di protocollo IANA. Se non vengono specificati protocolli, viene eseguito il mirroring di tutto il traffico che corrisponde agli intervalli CIDR specificati. Se non vengono specificati né intervalli CIDR né protocolli, viene eseguito il mirroring di tutto il traffico IPv4. Per specificare ICMP per IPv6, utilizza 58. Puoi fornire più protocolli utilizzando il seguente modulo: "icmp", "udp".
  • DIRECTION: la direzione del traffico di cui eseguire il mirroring. Le opzioni sono INGRESS, EGRESS o BOTH. Il valore predefinito è BOTH.
  • ENABLED: indica se il criterio è attivato o meno. Le opzioni sono TRUE o FALSE.

Elenca le policy di mirroring dei pacchetti

Puoi elencare le policy di mirroring dei pacchetti per visualizzare quelle esistenti.

Console

  • Nella console Trusted Cloud , vai alla pagina Packet Mirroring.

    Vai a Mirroring pacchetto

    La Trusted Cloud console elenca tutte le policy nel tuo progetto.

gcloud

Per elencare le policy di mirroring dei pacchetti presenti nel tuo progetto o per una determinata regione, utilizza il comando packet-mirrorings list.

gcloud compute packet-mirrorings list \
  [--filter="region:(REGION...)"]

Sostituisci REGION con il nome della regione che contiene i criteri da elencare.

API

Per elencare le policy di mirroring pacchetto esistenti nel tuo progetto, invia una richiesta GET al metodo packetMirrorings.list.

GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/aggregated/packetMirrorings

Sostituisci PROJECT_ID con l'ID del tuo progetto.

Per elencare le policy di mirroring pacchetto esistenti per una determinata regione, invia una richiesta GET al metodo packetMirrorings.list.

GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto che contiene le policy da elencare.
  • REGION: la regione che contiene le policy da elencare.

Descrivere una policy di mirroring pacchetto

Puoi descrivere un criterio di mirroring pacchetto per visualizzare dettagli come i filtri del criterio.

Console

  1. Nella console Trusted Cloud , vai alla pagina Packet Mirroring.

    Vai a Mirroring pacchetto

  2. Dall'elenco delle policy di mirroring pacchetto, seleziona quella che vuoi visualizzare. La Trusted Cloud console mostra i dettagli del criterio che hai selezionato.

gcloud

Per descrivere una policy di mirroring dei pacchetti, utilizza il comando packet-mirrorings describe.

gcloud compute packet-mirrorings describe POLICY_NAME \
  --region=REGION \

Sostituisci quanto segue:

  • POLICY_NAME: il nome della policy di mirroring dei pacchetti da descrivere.
  • REGION: la regione in cui si trova la policy.

API

Per descrivere una policy di mirroring pacchetto, invia una richiesta GET al metodo packetMirrorings.get.

GET https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui si trova la policy.
  • REGION: la regione in cui si trova la policy.
  • POLICY_NAME: il nome della policy di mirroring dei pacchetti da descrivere.

Disattivare o attivare una policy di mirroring pacchetto

Puoi disattivare o attivare una policy di mirroring dei pacchetti per interrompere o avviare la raccolta del traffico sottoposto a mirroring.

Console

  1. Nella console Trusted Cloud , vai alla pagina Packet Mirroring.

    Vai a Mirroring pacchetto

  2. Dall'elenco delle policy di mirroring dei pacchetti, seleziona quella da disattivare o attivare.

  3. Fai clic su Disattiva o Attiva.

  4. Conferma facendo clic su Disattiva o Attiva.

gcloud

Per disattivare un criterio di Mirroring pacchetto, utilizza il comando packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME \
  --region=REGION \
  --no-enable

Sostituisci quanto segue:

  • POLICY_NAME: il nome della policy di mirroring pacchetto da disattivare o attivare.
  • REGION: la regione in cui si trova la policy.

Per attivare una policy di mirroring pacchetto, utilizza il comando packet-mirrorings update.

gcloud compute packet-mirrorings update POLICY_NAME \
  --region=REGION \
  --enable

Sostituisci quanto segue:

  • POLICY_NAME: il nome della policy di mirroring pacchetto da disattivare o attivare.
  • REGION: la regione in cui si trova la policy.

API

Per disattivare o attivare una policy di mirroring pacchetto esistente, invia una richiesta PATCH al metodo packetMirrorings.patch.

PATCH https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME
{
  "enable": "FALSE|TRUE"
}

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui si trova la policy.
  • REGION: la regione in cui si trova la policy.
  • POLICY_NAME: il nome della policy di mirroring dei pacchetti da disattivare.

Elimina una policy di mirroring dei pacchetti

Puoi eliminare una policy di mirroring dei pacchetti per rimuoverla dal progetto. Dopo aver eliminato una policy, Trusted Cloud viene interrotta la duplicazione di tutto il traffico correlato alla policy.

Console

  1. Nella console Trusted Cloud , vai alla pagina Packet Mirroring.

    Vai a Mirroring pacchetto

  2. Dall'elenco delle policy di mirroring dei pacchetti, seleziona quella che vuoi eliminare.

  3. Fai clic su Elimina.

  4. Conferma l'operazione facendo clic su Elimina.

gcloud

Per eliminare una policy di mirroring dei pacchetti, utilizza il comando packet-mirrorings delete.

gcloud compute packet-mirrorings delete POLICY_NAME \
  --region=REGION \

Sostituisci quanto segue:

  • POLICY_NAME: il nome della policy di mirroring dei pacchetti da eliminare.
  • REGION: la regione in cui si trova la policy.

API

Per eliminare un criterio di mirroring pacchetto, effettua una richiesta DELETE al metodo packetMirrorings.delete.

DELETE https://compute.s3nsapis.fr/compute/v1/projects/PROJECT_ID/regions/REGION/packetMirrorings/POLICY_NAME

Sostituisci quanto segue:

  • PROJECT_ID: l'ID del progetto in cui si trova la policy.
  • POLICY_NAME: il nome della policy di mirroring dei pacchetti da eliminare.
  • REGION: la regione in cui si trova la policy.

Risoluzione dei problemi

Se il criterio di mirroring pacchetto non raccoglie il traffico di mirroring previsto, controlla le seguenti configurazioni:

  • Verifica di avere regole firewall che consentano il traffico dalle istanze sottoposte a mirroring alle istanze del collettore.

  • Verifica che le origini sottoposte a mirroring includano o escludano le istanze da sottoporre a mirroring. Ad esempio, se specifichi una subnet come origine sottoposta a mirroring, viene eseguito il mirroring di tutte le istanze esistenti e future nella subnet. Se specifichi i tag, viene eseguito il mirroring solo delle istanze con tag corrispondenti.

  • Controlla che i filtri di mirroring dei pacchetti non siano troppo ampi o troppo limitati. Potresti aver configurato involontariamente i filtri per includere o escludere determinati tipi di traffico.

  • Se hai configurato una policy di mirroring dei pacchetti per raccogliere il traffico IPv6, assicurati che le origini del traffico sottoposto a mirroring siano VM con indirizzi IPv6 connesse a subnet con intervalli di indirizzi IPv6.