Esta página descreve a estrutura de geração de registros de regras de firewall da VPC no Cloud Logging. Quando uma regra da nuvem privada virtual (VPC) com a geração de registros ativada é aplicada ao tráfego de ou para uma instância de máquina virtual (VM), o Cloud Logging cria uma entrada de registro. Os registros aparecem no campo de payload JSON de um Logging LogEntry.
Os registros de firewall consistem em campos básicos, que são os campos principais de cada registro, e campos de metadados opcionais. Para reduzir os custos de armazenamento, é possível excluir campos de metadados.
Alguns campos de registro podem conter outros campos como valores. Por exemplo, o campo connection usa o formato IpConnection, que inclui o endereço IP e a porta de origem e destino, além do protocolo, em um único campo.
A tabela a seguir descreve os campos de registro compatíveis com regras de firewall da VPC.
| Nome do campo | Tipo de campo: base ou metadados opcionais | Descrição |
|---|---|---|
connection |
Base | IpConnection Cinco tuplas que descrevem os endereços IP e a porta de origem e destino, além do protocolo IP da conexão. |
disposition |
Base | Indica se a conexão foi ALLOWED ou
DENIED. |
rule_details |
Base | RuleDetails Detalhes da regra de firewall da VPC. Para regras de firewall da VPC, o formato é network:{network name}/firewall:{firewall_name}. |
instance |
Metadados | InstanceDetails Detalhes da instância da VM. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto de serviço. |
load_balancer_details |
Metadados | LoadBalancingDetails Detalhes do balanceador de carga de aplicativo interno ou do balanceador de carga de rede de proxy interno a que a regra de firewall se aplica. Quando o destino de uma regra de firewall é um desses balanceadores de carga, o campo instance é omitido. |
vpc |
Metadados | VpcDetails Detalhes da rede VPC. Em uma configuração de VPC compartilhada, project_id corresponde ao ID do projeto host. |
remote_instance |
Metadados | InstanceDetails Se o endpoint remoto da conexão for uma VM localizada no Compute Engine, esse campo será preenchido com os detalhes da instância da VM. |
remote_vpc |
Metadados | VpcDetails Se o endpoint remoto da conexão for uma VM localizada em uma rede VPC, esse campo será preenchido com os detalhes da rede. |
remote_location |
Metadados | GeographicDetails Se o endpoint remoto da conexão for externo à rede VPC, este campo será preenchido com os metadados de local disponíveis. |
IpConnection
| Campo | Tipo | Descrição |
|---|---|---|
src_ip |
string | O endereço IP de origem. Se a origem for uma VM do Compute Engine,
src_ip será o endereço de IP interno principal ou um endereço
em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo
não é exibido. O Logging mostra o endereço IP da VM como
a VM o vê no cabeçalho do pacote, o mesmo que se você executasse
tcpdump na VM. |
src_port |
integer | A porta de origem. |
dest_ip |
string | O endereço IP de destino. Se o destino for uma Google Cloud VM,
dest_ip será o endereço IP interno principal ou um endereço
em um intervalo de IP de alias da interface de rede da VM. O endereço IP externo
não é exibido, mesmo que tenha sido usado para fazer a conexão. |
dest_port |
integer | A porta de destino. |
protocol |
integer | Protocolo IP da conexão. |
RuleDetails
| Campo | Tipo | Descrição |
|---|---|---|
reference |
string | Uma string de identificador exclusivo que se refere a uma regra de firewall nomeada de recurso
vinculada a uma única rede VPC. O formato da regra de firewall da VPC é:network:{network name}/firewall:{VPC firewall rule name}. |
priority |
integer | A prioridade da regra de firewall da VPC. |
action |
string | Ação aplicada à conexão. Os valores aceitos são ALLOW
ou DENY. |
direction |
string | A direção a que a regra de firewall da VPC se aplica.
Pode ser INGRESS ou EGRESS
|
source_range[ ] |
string | Lista de intervalos de origem a que a regra de firewall da VPC se aplica. |
destination_range[ ] |
string | Lista de intervalos de destino aos quais a regra de firewall da VPC se aplica. |
ip_port_info[ ] |
string | Lista de protocolos IP e intervalos de portas aplicáveis a regras. |
source_tag[ ] |
string | Listas de tags de rede de origem a que a regra de firewall da VPC se aplica. |
target_tag[ ] |
string | Listas de tags de rede de destino a que a regra de firewall da VPC se aplica. |
source_service_account[ ] |
string | Lista de todas as contas de serviço de origem a que a regra de firewall da VPC se aplica. |
target_service_account[ ] |
string | Lista de todas as contas de serviço de destino a que a regra de firewall da VPC se aplica. |
IpPortDetails
| Campo | Tipo | Descrição |
|---|---|---|
ip_protocol |
string | Protocolo IP ao qual a regra de firewall da VPC se aplica. Pode ser
definido como ALL se a regra se aplicar a todos os protocolos IP. |
port_range[ ] |
string | Lista de intervalos de portas aplicáveis a regras de firewall da VPC.
Por exemplo, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descrição |
|---|---|---|
project_id |
string | ID do projeto que contém a VM. |
vm_name |
string | Nome da instância da VM. |
region |
string | Região da VM. |
zone |
string | Zona da VM. |
LoadBalancingDetails
| Campo | Tipo | Descrição |
|---|---|---|
forwarding_rule_project_id |
string | Google Cloud ID do projeto que contém a regra de encaminhamento. Enviado quando o balanceador de carga é o destino em vez de uma VM. |
type |
string | Tipo de balanceador de carga: APPLICATION_LOAD_BALANCER indica
um balanceador de carga de aplicativo interno. PROXY_NETWORK_LOAD_BALANCER indica um
balanceador de carga de rede de proxy interno. Enviado quando
o balanceador de carga é o destino em vez de uma VM. |
scheme |
string | Esquema do balanceador de carga, INTERNAL_MANAGED. Enviado quando
o balanceador de carga é o destino em vez de uma VM. |
url_map_name |
string | Nome do mapa de URL. Preenchido apenas se o type
for APPLICATION_LOAD_BALANCER. Enviado quando
o balanceador de carga é o destino em vez de uma VM. |
forwarding_rule_name |
string | Nome da regra de encaminhamento. Enviado quando o balanceador de carga é o destino em vez de uma VM. |
VpcDetails
| Campo | Tipo | Descrição |
|---|---|---|
project_id |
string | ID do projeto que contém a rede. |
vpc_name |
string | Rede em que a VM está operando. |
subnetwork_name |
string | Sub-rede em que a VM está operando. |
GeographicDetails
| Campo | Tipo | Descrição |
|---|---|---|
continent |
string | Nome do continente. É aplicável se o endpoint remoto da conexão for externo à VPC. |
country |
string | Nome do país. É aplicável se o endpoint remoto da conexão for externo à VPC. |
region |
string | Nome da região É aplicável se o endpoint remoto da conexão for externo à VPC. |
city |
string | Nome da cidade. É aplicável se o endpoint remoto da conexão for externo à VPC. |
A seguir
- Formato de geração de registros de regras da política de firewall.
- Visão geral da geração de registros de regras de firewall da VPC.
- Gerenciar a geração de registros de regras de firewall da VPC.
- Cloud Logging.