En esta página, se describe la estructura de registro de las reglas de firewall de VPC en Cloud Logging. Cuando una regla de la nube privada virtual (VPC) con el registro habilitado se aplica al tráfico hacia o desde una instancia de máquina virtual (VM), Cloud Logging crea una entrada de registro. Los registros aparecen en el campo de carga útil de JSON de una LogEntry de Logging .
Los registros de firewall constan de campos base, que son los campos principales de cada registro, y campos de metadatos opcionales. Para reducir los costos de almacenamiento, puedes excluir los campos de metadatos.
Algunos campos de registro pueden contener otros campos como valores. Por ejemplo, el campo connection usa el formato IpConnection, que
incluye el puerto y la dirección IP de origen y destino, además del protocolo, en un solo campo.
En la siguiente tabla, se describen los campos de registro admitidos para las reglas de firewall de VPC.
| Nombre del campo | Tipo del campo: base o metadatos opcionales | Descripción |
|---|---|---|
connection |
Base | IpConnection 5 tuplas que describen la dirección IP de origen y destino, el puerto de origen y destino, y el protocolo de IP de esta conexión. |
disposition |
Base | Indica si la conexión se ALLOWED o
DENIED. |
rule_details |
Base | RuleDetails Detalles de la regla de firewall de VPC. Para las reglas de firewall de VPC, el formato es network:{network name}/firewall:{firewall_name}. |
instance |
Metadatos | InstanceDetails Detalles de la instancia de VM. En una configuración de VPC compartida, project_id corresponde a la del proyecto de servicio. |
load_balancer_details |
Metadatos | LoadBalancingDetails Detalles del balanceador de cargas de aplicaciones interno o del balanceador de cargas de red del proxy interno al que se aplica la regla de firewall. Cuando el destino de una regla de firewall es uno de estos balanceadores de cargas, se omite el campo instance. |
vpc |
Metadatos | VpcDetails Detalles de la red de VPC. En una configuración de VPC compartida, project_id corresponde a la del proyecto host. |
remote_instance |
Metadatos | InstanceDetails Si el extremo remoto de la conexión es una VM ubicada en Compute Engine, este campo se propaga con los detalles de la instancia de VM. |
remote_vpc |
Metadatos | VpcDetails Si el extremo remoto de la conexión es una VM ubicada en una red de VPC, este campo se propaga con los detalles de la red. |
remote_location |
Metadatos | GeographicDetails Si el extremo remoto de la conexión es externo a la red de VPC, este campo se completa con los metadatos de ubicación disponibles. |
IpConnection
| Campo | Tipo | Descripción |
|---|---|---|
src_ip |
string | Es la dirección IP de origen. Si el origen es una VM de Compute Engine,
src_ip es la dirección IP interna principal o una dirección
en un rango de alias de IP de la interfaz de red de la VM. No se muestra la dirección IP externa. En el registro, se muestra la dirección IP de la VM tal como
se presenta a la VM en el encabezado del paquete, de la misma manera que si ejecutaras
tcpdump en la VM. |
src_port |
integer | Es el puerto de origen. |
dest_ip |
string | Es la dirección IP de destino. Si el destino es una Google Cloud VM,
dest_ip es la dirección IP interna principal o una dirección
en un rango de alias de IP de la interfaz de red de la VM. La dirección IP externa
no se muestra aunque se haya usado para establecer la conexión. |
dest_port |
integer | Es el puerto de destino. |
protocol |
integer | Protocolo IP de la conexión. |
RuleDetails
| Campo | Tipo | Descripción |
|---|---|---|
reference |
string | Es una cadena de identificador único que hace referencia a una regla de firewall con nombre de recurso
vinculada a una sola red de VPC. El formato para
la regla de firewall de VPC es:network:{network name}/firewall:{VPC firewall rule name}. |
priority |
integer | Es la prioridad para la regla de firewall de VPC. |
action |
string | Es la acción aplicada a la conexión. Los valores admitidos son ALLOW
o DENY. |
direction |
string | Es la dirección a la que se aplica la regla de firewall de VPC.
Puede ser INGRESS o EGRESS.
|
source_range[ ] |
string | Lista de los rangos de origen a los que se aplica la regla de firewall de VPC. |
destination_range[ ] |
string | Lista de los rangos de destino a los que se aplica la regla de firewall de VPC. |
ip_port_info[ ] |
string | Lista de los protocolos IP y rangos de puertos aplicables a las reglas. |
source_tag[ ] |
string | Lista de las etiquetas de red de origen a las que se aplica la regla de firewall de VPC. |
target_tag[ ] |
string | Lista de las etiquetas de red de destino a las que se aplica la regla de firewall de VPC. |
source_service_account[ ] |
string | Lista de todas las cuentas de servicio de origen a las que se aplica la regla de firewall de VPC. |
target_service_account[ ] |
string | Lista de todas las cuentas de servicio de destino a las que se aplica la regla de firewall de VPC. |
IpPortDetails
| Campo | Tipo | Descripción |
|---|---|---|
ip_protocol |
string | Es el protocolo IP al que se aplica la regla de firewall de VPC. Se puede
establecer en ALL si la regla se aplica a todos los protocolos IP. |
port_range[ ] |
string | Lista de los rangos de puertos aplicables a las reglas de firewall de VPC.
Por ejemplo, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descripción |
|---|---|---|
project_id |
string | Es el ID del proyecto que contiene la VM. |
vm_name |
string | Nombre de la instancia de la VM. |
region |
string | Región de la VM. |
zone |
string | Zona de la VM. |
LoadBalancingDetails
| Campo | Tipo | Descripción |
|---|---|---|
forwarding_rule_project_id |
string | Google Cloud Es el ID del proyecto que contiene la regla de reenvío. Se envía cuando el balanceador de cargas es el destino en lugar de una VM. |
type |
string | Tipo de balanceador de cargas: APPLICATION_LOAD_BALANCER indica
un balanceador de cargas de aplicaciones interno. PROXY_NETWORK_LOAD_BALANCER indica un
balanceador de cargas de red del proxy interno. Se envía cuando
el balanceador de cargas es el destino en lugar de una VM. |
scheme |
string | Esquema del balanceador de cargas, INTERNAL_MANAGED. Se envía cuando
el balanceador de cargas es el destino en lugar de una VM. |
url_map_name |
string | Es el nombre del mapa de URL. Solo se propaga si el type
es APPLICATION_LOAD_BALANCER. Se envía cuando
el balanceador de cargas es el destino en lugar de una VM. |
forwarding_rule_name |
string | Es el nombre de la regla de reenvío. Se envía cuando el balanceador de cargas es el destino en lugar de una VM. |
VpcDetails
| Campo | Tipo | Descripción |
|---|---|---|
project_id |
string | Es el ID del proyecto que contiene la red. |
vpc_name |
string | Red en la que opera la VM. |
subnetwork_name |
string | Subred en la que opera la VM. |
GeographicDetails
| Campo | Tipo | Descripción |
|---|---|---|
continent |
string | Es el nombre del continente. Es aplicable si el extremo remoto de la conexión es externo a la VPC. |
country |
string | Es el nombre del país. Es aplicable si el extremo remoto de la conexión es externo a la VPC. |
region |
string | Es el nombre de la región. Es aplicable si el extremo remoto de la conexión es externo a la VPC. |
city |
string | Es el nombre de la ciudad. Es aplicable si el extremo remoto de la conexión es externo a la VPC. |
¿Qué sigue?
- Formato de registro de reglas de la política de firewall.
- Descripción general del registro de reglas de firewall de VPC
- Administra el registro de reglas de firewall de VPC.
- Cloud Logging