Flow Analyzer 可讓您快速有效地瞭解虛擬私有雲 (VPC) 流量,不必編寫複雜的 SQL 查詢來分析虛擬私有雲流量記錄檔。Flow Analyzer 可讓您以 5 元組的精細程度 (來源 IP、目的地 IP、來源通訊埠、目標通訊埠和通訊協定) 執行主觀的網路流量分析。
Flow Analyzer 是以記錄檔分析開發,並採用 BigQuery 技術,可深入分析 VM 執行個體的傳入和傳出流量。您可以監控、疑難排解及最佳化網路部署作業,進而提升效能、加強安全性、確保法規遵循,並節省成本。
Flow Analyzer 會分析儲存在記錄檔 bucket 中的虛擬私有雲流量記錄檔資料 (記錄格式)。如要使用 Flow Analyzer,您必須選取含有虛擬私有雲流量記錄檔的記錄檔 bucket 專案。詳情請參閱「虛擬私有雲流量記錄檔總覽」。虛擬私有雲流量記錄檔可用於網路監控、鑑識、即時安全性分析和支出最佳化作業。
Flow Analyzer 會對虛擬私有雲流量記錄檔中包含的欄位執行查詢。詳情請參閱「虛擬私有雲流量記錄檔的重要屬性」。
在 Flow Analyzer 中,您可以執行下列操作:
- 查詢虛擬私有雲流量記錄檔回報的記錄
- 使用 SQL 篩選器修正查詢
- 依總流量、匯總封包或延遲時間排序查詢結果
- 查看特定時間範圍內的流量
- 查看所選時間範圍內,流量或延遲時間最高的前五個流程
- 查看所選時間範圍內流量或延遲時間最高的資源
- 在查詢結果中,查看特定來源和目的地配對的流量詳細資料
運作方式
虛擬私有雲流量記錄會對虛擬私有雲網路中的封包進行取樣,藉此產生流量記錄,並儲存在 Cloud Logging 中,或透過 Pub/Sub 傳送至支援的目的地,例如 BigQuery 或第三方平台。
將流量記錄儲存在 Cloud Logging 中啟用 Log Analytics 的 bucket 時,您可以使用 Flow Analyzer 查詢及視覺化流量資料。
查詢元件
如要分析及瞭解流量,您必須對虛擬私有雲流量記錄檔執行查詢。Flow Analyzer 可協助您建構查詢、自訂顯示選項,以及深入查看及監控流量流程。
流量匯總
如要分析虛擬私有雲流量,您必須決定匯總方法,以便篩選資源之間的流量。Flow Analyzer 會依下列方式彙整流量記錄:
- 來源和目的地:這個選項會使用虛擬私有雲流量記錄中的 SRC 和 DEST 資訊。這個檢視畫面會匯總從來源到目的地的流量。
- 用戶端和伺服器:這個選項會嘗試找出連線發起端,通訊埠編號較小的資源會視為伺服器。此外,由於服務不會發出要求,因此系統也會將定義為 gke_service 的資源視為伺服器。這個檢視畫面會匯總雙向流量。
時間範圍選取器
預設時間範圍為一小時,但您可以選取預設時間選項、指定自訂開始和結束時間,或使用時間範圍選取器,將時間範圍集中在特定時間戳記附近。舉例來說,如要查看過去一週的資料,請從時間範圍選擇器選取「過去 1 週」。
你也可以使用時間範圍選取器設定時區偏好設定。
基本篩選器
基本篩選器可讓您定義查詢範圍。查詢結果只會顯示符合所選篩選條件的流程。您可以選取下列項目的篩選器:
- 來源和目的地 (如果流量匯總設為「來源 - 目的地」)
- 用戶端和伺服器 (如果「流量匯總」設為「用戶端 - 伺服器」)
- 流程參數
您可以在每個「篩選器」清單中新增多個篩選運算式。如果為同一個篩選器選取多個值,系統會使用 OR 運算子,如果選取多個篩選器,系統會使用 AND 運算子。
舉例來說,假設您選取「10.10.0.10」和「10.10.0.20」這兩個 IP 位址值,以及「usa」和「fra」這兩個國家/地區值,查詢會套用下列篩選邏輯:(IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra)。
如要使用基本篩選器建構及執行查詢,請參閱「建構及執行查詢」。
SQL 篩選器
如要建構複雜查詢,可以使用 SQL 篩選器。使用複雜查詢,您可以執行下列工作:
- 比較欄位值
- 使用 AND/OR 和巢狀 OR 運算建立複雜的布林邏輯
- 使用 BigQuery 函式對 IP 位址執行複雜作業
SQL 篩選器查詢使用 BigQuery SQL 語法。詳情請參閱 BigQuery SQL 語法。
如要查看篩選運算式語法和範例,請按一下「篩選運算式語法和範例」。
如要使用 SQL 篩選器建構及執行查詢,請參閱「建構及執行 SQL 查詢」。
查詢結果
查詢結果包含下列元件:
- 「資料流量最高」圖表:顯示一段時間內流量最高的前五個流量,以及其餘流量。您可以使用這張圖表找出流量暴增等趨勢。
- 「所有資料流量」表格:顯示所選時間範圍內匯總的前 10,000 個流量。這個表格會顯示您在定義查詢篩選條件時,選取用於整理流程的欄位。
如果您在「顯示選項」中選取「延遲」,系統會改為顯示「延遲時間最長的流量」和「所有延遲流量」。
顯示選項
執行查詢後,您可以使用顯示選項來調整結果。系統會根據所選項目更新圖表和表格。
流程分析器提供兩種模式,可自訂資料顯示方式:
詳情請參閱「自訂顯示選項」。
資料量
「資料量」顯示模式提供下列選項。
指標類型
您可以選擇查看下列其中一種指標類型。
傳送的位元組:包含酬載量相關資訊,但不包括標頭。這項指標值可能為零,因為部分封包只有標頭,不含任何酬載。
傳送的封包:表示從來源傳送至目的地的封包數。
這兩種指標類型都可選擇其他指標匯總方式。
指標匯總
您可以透過下列方式查看指標匯總。
如果您選取「傳送的位元組數」做為指標,並選取「來源和目的地」做為流量匯總,則可使用下列選項:
- 總流量:這項指標預設為啟用,顯示所選時間範圍內的總流量。
- 平均流量速率:顯示所選時間範圍的平均流量速率 (以每秒位元組為單位),僅針對觀察到流量的對齊期間計算。詳情請參閱「對齊週期」。
- 流量速率中位數:顯示所選時間範圍的流量速率中位數 (以每秒位元組為單位),僅針對觀察到流量的對齊期間計算。詳情請參閱「對齊週期」。
- P95 流量速率:顯示所選時間範圍內第 95 個百分位數的流量速率 (以每秒位元組為單位),僅針對觀察到流量的對齊期間計算。詳情請參閱「對齊週期」。
- 流量傳輸速率最大值:顯示所選時間範圍內,每秒的流量傳輸速率最大值 (以位元組為單位)。
如果選取「傳送的封包」做為指標,並選取「來源和目的地」做為流量匯總,則可使用下列選項:
- 封包匯總:顯示所選時間範圍內傳送的封包數量。(預設為啟用)。
- 平均封包速率:顯示所選時間範圍的平均封包速率,僅針對觀察到流量的對齊期間計算。詳情請參閱「對齊週期」。
- 封包傳送速率中位數:顯示所選時間範圍內的封包傳送速率中位數,只會針對觀察到流量的對齊期間計算。詳情請參閱「對齊週期」。
- 第 95 個百分位數的封包傳輸速率:顯示所選時間範圍的第 95 個百分位數封包傳輸速率,僅針對觀察到流量的對齊期間計算。詳情請參閱「對齊週期」。
- 封包傳送速率上限:顯示所選時間範圍的封包傳送速率上限。
取樣點
如果是 VM 對 VM 網路通訊,傳送和接收流量的 VM 都會提供流程記錄 (已套用取樣)。如果端點 VM 位於已啟用虛擬私有雲流量記錄的子網路,系統會回報兩次相同流量。您可以選擇下列四種方法之一,判斷哪些虛擬私有雲流量記錄會影響計算指標,以及評估方式:
- 來源端點:在流程的來源端點回報的傳送位元組數或封包數
- 目的地端點:在流程目的地端點回報的傳送位元組數或傳送封包數
- 來源和目的地端點的總和:流量兩個端點回報的傳送位元組或封包總和
- 來源和目的地端點的平均值:如果虛擬私有雲流量記錄中同時提供來源和目的地資訊,則為流程兩端回報的位元組或封包平均值
流量重複資料刪除
為避免來源和目的地 VM 報表的流量重複計算,您可以選擇「來源和目的地端點的平均值」取樣選項。流量分析器會找出每個對齊週期內的等效流量,並計算回報指標值 (位元組計數和封包計數) 的平均值。
如果 SRC 和 DEST 都回報了等效流量,則在對齊期間內,歸因於特定對齊期間的所有流量都會除以 2。
延遲時間
以下是「延遲時間」顯示模式的可用選項。
指標類型
Flow Analyzer 會使用虛擬私有雲流量記錄中的往返時間資料,分析 TCP 流量的延遲情形。
排名指標
您可以使用下列指標為流量流程排序。 這個選項會定義「所有延遲流程」表格的排序順序,並決定「延遲時間最長的流程」圖表中顯示的流程。
- 平均:依平均延遲時間 (包括延遲時間高峰) 排序流量。
- 最高:依據延遲時間最高峰排序流量。
- 中位數:依據延遲時間中位數最高者排序流量 (不含延遲時間高峰)。
- P95:依據第 95 個百分位數的最高延遲時間排序流量。
- P99:依據第 99 個百分位數的最高延遲時間排序流量。
- 標準差:依據延遲時間的最高變異性 (不一致性) 為流量排序。
取樣點
系統會回報來源和目的地端點的延遲時間。您可以查看流量兩側的延遲值。
指標匯總
您可以選擇下列選項來匯總延遲資料:
圖表匯總:定義「延遲時間最長的流程」圖表的計算方法,並套用至根據所選排名指標選取的資料。您可以選擇「平均值」、「最大值」、「中位數」、「P95」或「P99」做為延遲時間計算方法。
舉例來說,如果您依據中位數延遲時間為流量排名,同時將圖表匯總設定為最高延遲時間,圖表就會顯示中位數延遲時間最高的五個流量,其延遲時間最高峰值。
表格匯總:選取要顯示在「所有延遲流程」表格中的指標 (除了所選的排名指標)。
您也可以從延遲分析中排除低流量流程。
校正週期
您可以選擇 5 秒到 1 天的時間範圍,查看圖表中的詳細資料。自動模式會依據所選時長,選用最合適的校正週期。
時間軸上的每個點都代表特定時間範圍的彙整資料。這段時間的長度稱為「校驗期」。
對齊週期值越小,效能就越差。如果對齊週期值較高,圖表會變得較不精細。你可能無法查看值較高的短期尖峰。
如果時間範圍較長,縮短對齊週期並無助益。舉例來說,如果您為 30 天的期間選取 1 分鐘的對齊方式,Flow Analyzer 會產生超過 43,000 個資料點。因為這比 4K 螢幕的像素多出 10 倍,你將無法查看所有詳細資料,且系統會針對較長的時間間隔停用部分選項。
如要進一步瞭解系統如何取樣及決定對齊週期,以顯示查詢結果,請參閱「指標和對齊週期」。
查看流程詳細資料
在「所有資料流程」或「所有延遲流程」表格中,按一下任一流程的「詳細資料」。「流程詳細資料」面板隨即顯示。這個面板會提供來源、目的地、流量、向下鑽取選項和輸出自主系統 (AS) 路徑等資訊。
下鑽檢視畫面
您可以透過額外欄位分割所選流量,進一步瞭解流量。舉例來說,如果某個流程包含從區域 X 到區域 Y 的 1,000 GiB 流量一般詳細資料,您可以使用來源 IP 位址等其他欄位,進一步瞭解詳細資料。 Google Cloud 結果包含組成原始流程的多個 IP 位址。
系統會依下列方式選取下鑽元件中顯示的欄位:
- 存取流程詳細資料時,Flow Analyzer 會執行多項查詢。每個查詢都會嘗試使用虛擬私有雲流量記錄中可用的欄位,以及原始查詢中尚未使用的欄位,深入分析所選流量。舉例來說,如果執行的查詢已包含 IP 位址詳細資料,您就不需要再次執行含有這個欄位的查詢,也無法使用這個欄位向下鑽研。
- 如果任何額外查詢傳回單一欄位值,即使先前未擷取該值,系統仍會將其新增至來源和目的地詳細資料部分。
- 如果任何查詢結果包含多個欄位值,對應的欄位就會顯示在向下鑽取清單中。
選取下鑽清單中的欄位後,下鑽表格和圖表就會更新,顯示前三名的流量流向。
您也可以使用「與過去比較」切換按鈕。選取這項功能即可查看六條線:三條實線代表下鑽設定中前三名的流量,三條虛線則代表過去的流量,並以相應顏色顯示。
如要使用更多欄位深入分析流量,請參閱「深入分析流量」。
輸出 AS 路徑檢視畫面
在「輸出 AS 路徑」分頁中,您可以查看輸出封包為抵達 Google Cloud網路以外目的地所經過的 AS 路徑。AS 路徑可以包含多個自治系統編號 (ASN)。
如要控管「輸出 AS 路徑」分頁中顯示的 AS 詳細資料,請使用「流量參數」清單中的「輸出 AS 路徑」篩選器。舉例來說,您可以在「比較子」欄位中選取「長於」和「短於」選項,指定每個 AS 路徑的 ASN 數量。如要查看包含特定 ASN 的 AS 路徑,可以使用「有第一個 ASN」或「包含 ASN」選項。
輸出 AS 路徑圖表中的邊緣會依流程記錄數量加權。在圖表上的 AS 路徑中,邊緣代表包含邊緣所連線兩個 ASN 的流量記錄數量。系統會根據您執行查詢時選取的「輸出 AS 路徑」篩選器選項和時間範圍,變更「輸出 AS 路徑」圖表上顯示的資料。
在記錄檔分析中查看
您可以在記錄檔分析中查看原始 SQL 查詢。
如要進行進階分析,您可以直接修改用來顯示流量的 SQL 程式碼。「在記錄檔分析中查看」功能會將您導向「記錄檔分析」頁面,並預先填入查詢。