Ringkasan integrasi di luar band

Untuk menganalisis traffic jaringan beban kerja dalam skala besar, Anda dapat menggunakan Duplikasi Paket, layanan Integrasi Keamanan Jaringan di luar band. Duplikasi Paket memungkinkan Anda memantau traffic jaringan menggunakan alat virtual pihak ketiga.

Duplikasi Paket mengkloning traffic jaringan berdasarkan kriteria pemfilteran yang ditentukan dalam aturan duplikasi kebijakan firewall. Traffic yang dicerminkan ini kemudian dikirim ke deployment perangkat virtual pihak ketiga Anda untuk pemeriksaan deep packet.

Duplikasi Paket merekam semua data paket, termasuk payload dan header IP. Anda dapat menganalisis traffic jaringan yang diduplikasi untuk memantau performa jaringan dan aplikasi serta mendeteksi ancaman di jaringan Anda.

Packet Mirroring adalah layanan zonal yang mendukung deployment regional. Namun, Anda akan dikenai biaya untuk traffic lintas zona jika konsumen dan produsen deployment mirroring Anda berada di zona yang berbeda. Untuk meningkatkan keandalan deployment duplikasi, sebaiknya buat deployment produsen terpisah di zona yang sama dengan sumber duplikasi Anda. Dengan melakukannya, Anda dapat meminimalkan biaya traffic lintas zona dan meningkatkan keandalan penyiapan mirroring secara keseluruhan.

Manfaat menggunakan integrasi di luar band

Integrasi di luar band memberikan manfaat berikut:

  • Kemampuan pencocokan traffic terperinci: dengan kemampuan pencocokan traffic terperinci, Anda dapat menentukan aturan mirroring sebagai bagian dari kebijakan firewall. Dengan begitu, Anda dapat menggunakan kebijakan firewall jaringan global saat menentukan aturan mirroring. Aturan ini memungkinkan Anda menduplikasikan traffic tertentu berdasarkan berbagai kriteria, termasuk alamat IP sumber atau tujuan, protokol, dan rentang port tujuan. Untuk mengetahui informasi selengkapnya tentang aturan pencerminan, lihat Aturan pencerminan.

  • Filter negatif: Anda dapat menggunakan tindakan DO_NOT_MIRROR dalam aturan duplikasi untuk menentukan filter negatif. Hal ini memungkinkan Anda mengabaikan traffic tertentu dalam aturan pencerminan.

  • Enkapsulasi Geneve: traffic yang diduplikasi dienkapsulasi menggunakan Geneve. Hal ini membantu Anda mempertahankan paket asli saat dikirimkan ke perangkat pihak ketiga untuk diperiksa. Untuk mengetahui informasi selengkapnya, lihat Memahami format GENEVE.

    Selain paket asli, geneve-encapsulation juga menyertakan informasi tentang sumber duplikasi. Fitur ini menambahkan ID jaringan Virtual Private Cloud (VPC) yang unik ke setiap paket yang dialihkan ke grup endpoint duplikasi untuk pemeriksaan paket mendalam. Jika Anda memiliki beberapa jaringan VPC dengan rentang alamat IP yang tumpang-tindih, ID jaringan ini membantu memastikan bahwa setiap paket yang dialihkan dikaitkan dengan benar ke jaringan VPC-nya.

  • Kolektor mirroring sebagai layanan: Anda dapat memusatkan pengelolaan operasional peralatan pihak ketiga sekaligus menawarkannya sebagai layanan kepada berbagai tim aplikasi di organisasi Anda. Deployment appliance terpusat ini dapat berada di project lain atau organisasi lain, bergantung pada cara tim Anda diatur.

Model deployment integrasi di luar band

Integrasi di luar band didasarkan pada model produsen-konsumen, di mana konsumen menggunakan layanan yang ditawarkan oleh produsen.

Gambar 1 menunjukkan arsitektur deployment tingkat tinggi dari layanan integrasi di luar band.

Arsitektur deployment tingkat tinggi layanan integrasi di luar band.
Gambar 1. Arsitektur deployment tingkat tinggi layanan integrasi di luar band (klik untuk memperbesar).

Komponen produsen

Jaringan VPC produsen berisi serangkaian instance pengumpul yang di-load balance dan mampu menerima paket yang dienkapsulasi Geneve dari jaringan konsumen. Instance dalam grup instance disebut sebagai instance pengumpul.

Saat menentukan instance kolektor, masukkan nama aturan penerusan yang terkait dengan Load Balancer Jaringan passthrough internal. Google Cloud kemudian meneruskan traffic yang diduplikasi ke instance kolektor. Load balancer internal untuk Duplikasi Paket mirip dengan load balancer internal lainnya, hanya saja aturan penerusan harus dikonfigurasi untuk Duplikasi Paket. Semua traffic yang tidak diduplikasi yang dikirim ke load balancer akan dihapus.

Grup deployment mirroring dan deployment mirroring

Deployment duplikasi adalah resource zonal yang mengarah ke aturan penerusan Load Balancer Jaringan passthrough internal yang berfungsi sebagai frontend untuk instance pengumpul. Deployment pencerminan ini dikelompokkan lebih lanjut dalam grup deployment pencerminan di berbagai lokasi dalam project agar lebih mudah digunakan dan dikelola.

Grup endpoint duplikasi di jaringan konsumen mengirimkan traffic yang diduplikasi ke grup deployment duplikasi yang sesuai. Grup deployment duplikasi kemudian mengirimkan traffic ke deployment duplikasi di zona yang sama dengan sumber duplikasi untuk diperiksa.

Untuk mengetahui informasi selengkapnya tentang grup deployment dan deployment, lihat Ringkasan grup deployment mirroring dan Ringkasan deployment mirroring.

Komponen konsumen

Sumber yang diduplikasi adalah instance virtual machine (VM) Compute Engine yang dapat Anda pilih dengan menggunakan parameter target, sumber, dan tujuan dalam aturan duplikasi. Anda dapat menentukan satu atau beberapa jenis sumber; jika satu instance cocok dengan setidaknya salah satu jenis sumber, instance tersebut akan diduplikasi.

Duplikasi Paket mengumpulkan traffic dari antarmuka jaringan instance di jaringan tempat kebijakan duplikasi paket diterapkan. Dalam kasus ketika instance memiliki beberapa antarmuka jaringan, antarmuka lainnya tidak diduplikasi kecuali jika kebijakan lain telah dikonfigurasi untuk melakukannya.

Bagian berikut membahas komponen jaringan konsumen.

Grup endpoint mirroring

Grup endpoint duplikasi adalah resource tingkat project di sisi konsumen yang secara langsung sesuai dengan grup deployment duplikasi produsen. Anda dapat mengaitkan setiap jaringan VPC ke grup endpoint duplikasi untuk mengaktifkan duplikasi traffic.

Sebaiknya buat grup endpoint pencerminan di project yang dimiliki oleh administrator keamanan Anda. Untuk membuat asosiasi grup endpoint mirroring, administrator keamanan harus memberikan peran Mirroring Endpoint Admin (roles/networksecurity.mirroringAdmin) dan Mirroring Endpoint Network Admin (roles/networksecurity.mirroringEndpointNetworkAdmin) kepada project ini atau administrator jaringan.

Untuk mengetahui informasi selengkapnya tentang mencerminkan grup endpoint, lihat Ringkasan pencerminan grup endpoint.

Pengaitan grup endpoint mirroring

Asosiasi grup endpoint mirroring menentukan jaringan VPC konsumen yang trafficnya perlu di-mirroring dan ditransfer ke grup deployment produsen untuk diperiksa.

Grup endpoint duplikasi mengirimkan traffic yang diduplikasi ke grup deployment yang sesuai di jaringan produsen. Namun, untuk menentukan jaringan VPC konsumen yang trafficnya yang dicerminkan perlu diperiksa, Anda membuat pengaitan antara jaringan VPC dan grup endpoint pencerminan.

Setelah Anda membuat asosiasi grup endpoint duplikasi, aturan duplikasi kebijakan firewall menentukan paket mana yang akan diduplikasi dari jaringan VPC terkait. Jika asosiasi grup endpoint duplikasi tidak dibuat, aturan duplikasi akan diabaikan dan paket tidak akan dikirim ke grup deployment untuk diperiksa.

Untuk mengetahui informasi selengkapnya tentang asosiasi grup endpoint, lihat Membuat dan mengelola asosiasi grup endpoint mirroring.

Kebijakan dan aturan firewall

Di jaringan VPC konsumen, Anda menggunakan kebijakan firewall jaringan untuk memilih traffic yang ingin Anda duplikasikan dan periksa. Kebijakan firewall berisi aturan berikut:

  • Aturan kebijakan firewall: mengizinkan atau menolak traffic masuk atau keluar paket data ke dan dari VM konsumen. Aturan kebijakan firewall dapat memiliki salah satu tindakan berikut:

    • ALLOW: mengizinkan traffic dan menghentikan evaluasi aturan kebijakan firewall dengan prioritas lebih rendah lainnya.
    • DENY: tidak mengizinkan traffic dan menghentikan evaluasi aturan kebijakan firewall lainnya yang memiliki prioritas lebih rendah.
    • GOTO_NEXT: melanjutkan proses evaluasi aturan.

Untuk mengetahui informasi selengkapnya tentang aturan kebijakan firewall, lihat Ringkasan aturan kebijakan firewall.

  • Aturan duplikasi: menentukan apakah paket data masuk atau keluar diduplikasi. Aturan pencerminan dapat memiliki salah satu tindakan berikut:

    • MIRROR: mengizinkan pencerminan alur traffic dan menghentikan evaluasi aturan pencerminan prioritas rendah lainnya.
    • DO_NOT_MIRROR: tidak mengizinkan duplikasi alur traffic dan menghentikan evaluasi aturan duplikasi dengan prioritas lebih rendah lainnya. Anda menggunakan tindakan DO_NOT_MIRROR untuk memfilter secara terperinci alur traffic yang tidak perlu diduplikasi.

    • GOTO_NEXT: tindakan yang dapat Anda gunakan untuk mendelegasikan evaluasi koneksi ke tingkat yang lebih rendah. Aturan pencerminan memungkinkan pemrosesan aturan berikutnya jika salah satu kondisi berikut terpenuhi:

      • Jika tindakan tersebut goto_next, evaluasi akan dilanjutkan ke aturan berikutnya. Oleh karena itu, beberapa aturan goto_next tidak memengaruhi perilaku satu sama lain.
      • Jika traffic masuk tidak cocok dengan aturan yang ada, sistem akan menggunakan tindakan goto_next secara default. Artinya, tingkat kebijakan saat ini tidak menemukan tindakan yang relevan, sehingga evaluasi dilanjutkan ke tingkat yang lebih rendah berikutnya.

Urutan evaluasi kebijakan dan aturan untuk aturan duplikasi

Anda dapat menambahkan aturan mirroring ke kebijakan firewall jaringan global. Mirip dengan aturan kebijakan firewall, aturan mirroring dievaluasi dalam urutan prioritas menurun, dengan nol (0) memiliki prioritas tertinggi. Setiap aturan pencerminan dalam kebijakan firewall harus memiliki prioritas unik. Jika alur traffic cocok dengan aturan duplikasi, integrasi di luar band akan menduplikasi paket dan melewati evaluasi aturan duplikasi dengan prioritas yang lebih rendah.

Jika aturan mirroring dikonfigurasi dalam kebijakan firewall, urutan evaluasi aturan didasarkan pada arah traffic yang masuk atau keluar dari VM.

  • Dalam kasus ingress, traffic pertama-tama dievaluasi berdasarkan urutan evaluasi aturan kebijakan firewall.

    • Jika aturan firewall mengizinkan traffic masuk, maka traffic tersebut dievaluasi berdasarkan aturan mirroring. Berdasarkan tindakan aturan pencerminan, traffic kemudian dicerminkan atau tidak dicerminkan.
    • Jika aturan firewall tidak mengizinkan traffic masuk, traffic tersebut tidak dievaluasi berdasarkan aturan duplikasi dan paket traffic yang diblokir oleh aturan firewall akan dihentikan dan tidak diduplikasi.

  • Dalam kasus keluar, traffic pertama-tama dievaluasi berdasarkan aturan pencerminan. Berdasarkan tindakan yang ditentukan untuk aturan mirroring, traffic akan diduplikasi atau tidak diduplikasi, lalu traffic dievaluasi berdasarkan urutan evaluasi aturan kebijakan firewall keluar.

Profil keamanan dan grup profil keamanan

Aturan pencerminan mereferensikan profil keamanan dalam grup profil keamanan untuk menerapkan deep packet inspection pada traffic yang dicerminkan. Traffic yang cocok dengan aturan duplikasi akan diduplikasi ke grup endpoint duplikasi yang dirujuk oleh profil keamanan aturan duplikasi. Anda harus membuat grup profil keamanan yang berisi profil keamanan kustom yang mengarah ke grup endpoint mirroring untuk pemeriksaan pihak ketiga. Saat membuat aturan pencerminan, Anda mengaitkan grup profil keamanan dengan aturan menggunakan tanda --security-profile-group. Profil keamanan dan grup profil keamanan adalah resource tingkat organisasi.

Untuk mengetahui informasi selengkapnya tentang profil keamanan dan grup profil keamanan, lihat Ringkasan profil keamanan dan Ringkasan grup profil keamanan.

Cara kerja integrasi di luar band

Integrasi di luar band menggunakan teknologi Duplikasi Paket untuk menyalin data traffic dari jaringan VPC konsumen dan mengirimkannya ke jaringan VPC produsen melalui grup endpoint duplikasi. Duplikasi Paket memproses traffic dalam urutan berikut:

  1. Kebijakan firewall jaringan diterapkan ke traffic ke dan dari VM di jaringan.
  2. Traffic yang cocok dengan aturan duplikasi dalam kebijakan akan diduplikasi, dan paket yang diduplikasi akan dienkapsulasi menggunakan Geneve, sehingga mempertahankan paket asli.
  3. Berdasarkan profil keamanan dalam grup profil keamanan yang ditentukan dalam kebijakan firewall jaringan, traffic yang di-mirror dikirim ke grup endpoint mirroring.
  4. Grup endpoint duplikasi mentranspor paket dengan aman ke deployment duplikasi yang sesuai dalam grup deployment duplikasi target untuk deep packet inspection.
  5. Load balancer passthrough internal grup deployment duplikasi produsen mendistribusikan alur paket di seluruh peralatan virtual pihak ketiga yang dikonfigurasi sebagai backend ke load balancer.
  6. Perangkat virtual pihak ketiga backend memproses paket untuk melakukan deep packet inspection.

Spesifikasi

Bagian berikut membahas spesifikasi integrasi di luar band.

Spesifikasi umum

  • Semua protokol Lapisan 4 didukung oleh Duplikasi Paket.
  • Anda dapat membuat izin IAM di sisi produsen untuk mengontrol konsumen mana yang dapat terhubung ke grup deployment produsen.
  • Sebaiknya Anda memiliki project produsen dan konsumen dalam organisasi yang sama. Namun, Anda juga dapat memilikinya di organisasi yang berbeda.
  • Jangan mengonfigurasi produsen dan konsumen di jaringan VPC yang sama karena hal ini akan menyebabkan loop duplikasi.
  • Anda harus mengonfigurasi aturan kebijakan firewall di jaringan VPC produsen untuk mengizinkan paket yang dienkapsulasi Geneve (UDP:6081) dari grup deployment mirroring. Selain itu, Anda harus mengonfigurasi aturan kebijakan firewall agar mengizinkan pemeriksaan health check dari Load Balancer Jaringan passthrough internal. Untuk mengetahui informasi selengkapnya, lihat Menggunakan kebijakan dan aturan firewall jaringan global.
  • Integrasi out-of-band mendukung pencerminan lintas zona. Anda dapat mengonfigurasi pencerminan lintas zona atau zona yang sama dengan memilih zona backend load balancer internal di sisi produsen.
  • Aturan mirroring, mirip dengan aturan firewall, berbasis sesi—aturan mirroring menentukan sesi yang perlu di-mirror sesuai dengan pemrakarsa sesi. Untuk sesi yang diduplikasi, semua paket dalam traffic masuk dan keluar akan diduplikasi.
  • Load balancer internal untuk Duplikasi Paket mirip dengan load balancer internal lainnya, hanya saja aturan penerusan harus dikonfigurasi untuk Duplikasi Paket dengan menentukan flag --is_mirroring_collector. Semua traffic yang tidak diduplikasi yang dikirim ke load balancer akan dihapus. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi Load Balancer Jaringan passthrough internal untuk Duplikasi Paket, lihat Membuat load balancer untuk Duplikasi Paket.

Pencerminan traffic

  • Duplikasi Paket mengumpulkan data traffic hanya dari antarmuka jaringan VM yang terhubung ke jaringan VPC tempat kebijakan firewall jaringan yang berisi aturan duplikasi diterapkan. Dalam kasus ketika instance memiliki beberapa antarmuka jaringan, Anda harus mengonfigurasi kebijakan firewall jaringan terpisah untuk setiap antarmuka jaringan.
  • Traffic yang diduplikasi menggunakan bandwidth pada instance yang diduplikasi. Misalnya, jika instance yang diduplikasi mengalami traffic masuk sebesar 1 Gbps dan traffic keluar sebesar 1 Gbps, total traffic pada instance tersebut adalah 1 Gbps untuk traffic masuk dan 3 Gbps untuk traffic keluar (traffic keluar normal sebesar 1 Gbps dan traffic keluar yang diduplikasi sebesar 2 Gbps). Untuk membatasi traffic yang dikumpulkan, Anda dapat menggunakan filter.
  • Untuk menduplikasi traffic yang diteruskan antara Pod pada node Google Kubernetes Engine yang sama, Anda harus mengaktifkan Visibilitas intranode untuk cluster.

Pemfilteran

  • Anda dapat menggunakan aturan duplikasi untuk memfilter traffic instance yang diduplikasi untuk traffic IPv4 dan IPv6.
  • Aturan duplikasi dapat mempersempit volume traffic yang diduplikasi, yang dapat membantu Anda membatasi konsumsi bandwidth dengan hanya menduplikasi traffic yang diperlukan.
  • Anda dapat mengonfigurasi aturan duplikasi untuk mengumpulkan traffic berdasarkan protokol, rentang Classless Inter-Domain Routing (CIDR) (IPv4, IPv6, atau keduanya), arah traffic (hanya masuk, hanya keluar, atau keduanya), atau kombinasi.

Firewall Rules Logging

Firewall Rules Logging tidak mencatat log paket yang diduplikasi. Jika VM produsen berada di subnet yang mengaktifkan Firewall Rules Logging, traffic yang dikirim langsung ke VM produsen akan dicatat ke dalam log, termasuk traffic dari VM yang diduplikasi. Jadi, jika alamat IPv4 atau IPv6 tujuan asli cocok dengan alamat IPv4 atau IPv6 VM produsen, aliran akan dicatat ke dalam log. Untuk mengetahui informasi selengkapnya tentang Logging Aturan Firewall, lihat Menggunakan Logging Aturan Firewall.

Kasus penggunaan

Bagian berikut menjelaskan skenario dunia nyata yang menunjukkan alasan Anda menggunakan Duplikasi Paket.

Keamanan perusahaan

Tim engineer keamanan dan jaringan harus memastikan bahwa mereka menangkap semua anomali dan ancaman yang mungkin menunjukkan pelanggaran dan intrusi keamanan. Fitur ini menduplikasi semua traffic sehingga dapat menyelesaikan pemeriksaan komprehensif dari aliran yang mencurigakan. Karena serangan dapat menjangkau beberapa paket, tim keamanan harus bisa mendapatkan semua paket untuk setiap aliran.

Misalnya, alat keamanan berikut mengharuskan Anda untuk menangkap beberapa paket:

  • Alat Intrusion Detection System (IDS) memerlukan beberapa paket dari satu aliran untuk mencocokkan tanda tangan sehingga alat tersebut dapat mendeteksi ancaman persisten.

  • Mesin Deep Packet Inspection memeriksa payload paket untuk mendeteksi anomali protokol.

  • Forensik jaringan untuk kepatuhan PCI dan kasus penggunaan peraturan lainnya mengharuskan sebagian besar paket diperiksa. Duplikasi Paket memberikan solusi untuk menangkap vektor serangan yang berbeda, seperti komunikasi yang jarang atau komunikasi yang dicoba tetapi tidak berhasil.

Pemantauan performa aplikasi

Engineer jaringan dapat menggunakan traffic yang diduplikasi untuk memecahkan masalah performa yang dilaporkan oleh tim aplikasi dan database. Untuk memeriksa masalah jaringan, engineer jaringan dapat melihat apa yang terjadi melalui kabel, bukan mengandalkan log aplikasi.

Misalnya, engineer jaringan dapat menggunakan data dari Duplikasi Paket untuk menyelesaikan tugas-tugas berikut:

  • Menganalisis protokol dan perilaku agar dapat menemukan dan memperbaiki masalah, seperti paket hilang atau reset TCP.

  • Menganalisis (secara real time) pola traffic dari desktop jarak jauh, VoIP, dan aplikasi interaktif lainnya. Engineer jaringan dapat menelusuri masalah yang memengaruhi pengalaman pengguna aplikasi, seperti beberapa pengiriman ulang paket atau penyambungan ulang yang lebih dari yang diharapkan.

Audit keamanan

Anda dapat mengumpulkan dan menyimpan bukti terkait jaringan untuk audit apa pun jika diperlukan.

Perbandingan Duplikasi Paket VPC dan Duplikasi Paket Integrasi Keamanan Jaringan

Tabel berikut merangkum perbedaan antara Duplikasi Paket VPC dan Duplikasi Paket Integrasi Keamanan Jaringan.

Atribut Duplikasi Paket VPC Network Security Integration Packet Mirroring
Enkapsulasi Paket diduplikasi tanpa enkapsulasi. Paket dienkapsulasi dengan Geneve.
Semantik aturan duplikasi Aturan duplikasi dievaluasi per paket. Kebijakan duplikasi paket VPC dapat menentukan untuk menduplikasi hanya satu sisi sesi Pencerminan berbasis sesi. Selain itu, dalam aturan pencerminan, Anda dapat menentukan salah satu dari dua opsi: mirror atau do-not-mirror. Opsi ini memungkinkan Anda memilih traffic yang ingin atau tidak ingin diduplikasi.
Filter aturan duplikasi Aturan mirroring mendukung pemfilteran menurut alamat IP dan protokol sumber (src) dan tujuan (dst). Sama seperti Duplikasi Paket VPC, dengan penambahan rentang port tujuan.
Dukungan perangkat pihak ketiga
Didukung oleh kebijakan firewall hierarkis
Didukung oleh kebijakan firewall jaringan regional
Didukung oleh kebijakan firewall jaringan global

Interoperabilitas Duplikasi Paket Integrasi Keamanan Jaringan dan VPC

Di tingkat beban kerja, Duplikasi Paket Integrasi Keamanan Jaringan lebih diprioritaskan daripada Duplikasi Paket VPC. Jika workload memiliki konfigurasi Network Security Integration Packet Mirroring, bidang data akan mengabaikan konfigurasi VPC Packet Mirroring yang ada. Hal ini berlaku meskipun konfigurasi Duplikasi Paket Integrasi Keamanan Jaringan diterapkan secara implisit ke beban kerja.

Misalnya, kebijakan Duplikasi Paket VPC yang sudah ada sebelumnya dikonfigurasi untuk menduplikasi traffic HTTP dan ICMP. Saat pelanggan membuat konfigurasi Duplikasi Paket Integrasi Keamanan Jaringan dengan aturan duplikasi untuk menduplikasi HTTP, aturan ini diaktifkan pada kebijakan firewall jaringan global dan dikaitkan dengan project. Akibatnya, konfigurasi Duplikasi Paket Integrasi Keamanan Jaringan lebih diutamakan daripada kebijakan Duplikasi Paket VPC, dan perubahan berikut terjadi selama pemrosesan paket:

  • Traffic HTTP diduplikasi sesuai dengan konfigurasi Duplikasi Paket Integrasi Keamanan Jaringan. Artinya, semua traffic HTTP dikirim ke tujuan yang ditentukan untuk pemeriksaan paket mendalam.
  • Bidang data mengabaikan semua konfigurasi VPC Packet Mirroring untuk semua workload. Artinya, duplikasi traffic ICMP yang dikonfigurasi dalam kebijakan VPC Packet Mirroring dihentikan, dan traffic ICMP tidak lagi diduplikasi.

Perubahan perilaku ini dapat memiliki implikasi signifikan pada jaringan Anda. Misalnya, jika Anda mengandalkan duplikasi traffic ICMP untuk memecahkan masalah jaringan, Anda tidak dapat melakukannya lagi setelah konfigurasi Duplikasi Paket Integrasi Keamanan Jaringan diterapkan.

Batasan

  • Satu-satunya jenis load balancer internal yang didukung untuk deployment produsen adalah Load Balancer Jaringan passthrough internal dengan backend grup instance. Artinya, konfigurasi backend grup endpoint jaringan (NEG) tidak didukung untuk deployment produsen.

  • Jika paket jaringan cocok dengan aturan duplikasi, Compute Engine akan memproses paket asli dan paket yang diduplikasi dengan kecepatan yang lebih lambat. Kecepatan pemrosesan paket bergantung pada jenis mesin, ukuran paket, dan pemakaian CPU, dan kira-kira serupa dengan kecepatan traffic keluar di luar jaringan VPC. Jika Anda memerlukan kecepatan pemrosesan dan jaringan penuh untuk traffic yang dicerminkan, hubungi Dukungan untuk mendiskusikan solusi alternatif.

  • Pengaktifan pencerminan tidak direkomendasikan untuk keluarga mesin generasi ke-3 dan yang lebih baru karena kecepatan rute yang lebih lambat membatalkan manfaat jaringan bandwidth tinggi.

  • Kebijakan firewall jaringan regional tidak mendukung Duplikasi Paket.

  • Setiap aturan penerusan load balancer internal hanya dapat dikaitkan dengan satu deployment mirroring. Deployment duplikasi harus berada di project yang sama dengan load balancer internal dan zona deployment duplikasi harus berada dalam region load balancer internal.

  • Aturan pencerminan tidak mendukung tag aman sumber.

  • VPC dapat dikaitkan dengan maksimal satu pengaitan grup endpoint pencerminan.

  • Traffic yang cocok dengan aturan firewall dengan tindakan apply_security_profile_group tidak diduplikasi. Aturan firewall dengan tindakan ini menggantikan konfigurasi pencerminan.

Langkah berikutnya