מידע על זרימות תנועה
בדף הזה מוסבר איך VPC Flow Logs מדווח על יומנים של זרימות תעבורה נפוצות. דוגמאות מפורטות בקטעים הבאים:
- מסלולי VM, מסלולי GKE, מסלולי Serverless ומסלולי קישוריות היברידית מתארים מסלולים בתוך Google Cloud ומסלולים בין Google Cloud לבין משאבים מחוץ ל- Google Cloud. בדוגמאות לזרימות בין פרויקטים שונים, מניחים ש-VPC Flow Logs מוגדר ברמת הפרויקט.Google Cloud
- במאמר תנועה בין רשתות VPC בפרויקטים שונים מוסבר איך מתבצעת הערה של תנועה בין פרויקטים כש-VPC Flow Logs מוגדר ברמת הארגון.
תהליכי עבודה של מכונות וירטואליות
בקטעים הבאים מופיעות דוגמאות לאופן שבו VPC Flow Logs מוסיף הערות לזרימות תנועה ממכונות וירטואליות (VM) ואליהן.
זרימות נתונים מ-VM ל-VM באותה רשת VPC
במקרה של זרימות נתונים מ-VM ל-VM באותה רשת VPC, דוחות של יומני זרימת נתונים מדווחים משני סוגי המכונות הווירטואליות – אלה ששולחות את הבקשה ואלה שמגיבות לה – בתנאי ששתי המכונות הווירטואליות נמצאות ברשתות משנה שבהן מופעלים יומני זרימת נתונים של VPC. בדוגמה הזו, מכונה וירטואלית 10.10.0.2 שולחת בקשה עם 1,224 בייט למכונה וירטואלית 10.50.0.2, שגם היא נמצאת ברשת משנה שבה מופעלת רישום ביומן. בתגובה, 10.50.0.2 משיב לבקשה עם תשובה שמכילה 5,342 בייט. הבקשה והתשובה מתועדות גם במכונות הווירטואליות שמהן נשלחה הבקשה וגם במכונות הווירטואליות שמהן נשלחה התשובה.
| כפי שדווח על ידי מכונת ה-VM המבקשת (10.10.0.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.10.0.2 | 10.50.0.2 | 1,224 |
src_instance.* src_vpc.* dest_instance.* dest_vpc.* |
| תשובה | 10.50.0.2 | 10.10.0.2 | 5,342 |
src_instance.* src_vpc.* dest_instance.* dest_vpc.* |
| כפי שדווח על ידי מכונה וירטואלית מגיבה (10.50.0.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.10.0.2 | 10.50.0.2 | 1,224 |
src_instance.* src_vpc.* dest_instance.* dest_vpc.* |
| תשובה | 10.50.0.2 | 10.10.0.2 | 5,342 |
src_instance.* src_vpc.* dest_instance.* dest_vpc.* |
זרימות ממכונה וירטואלית לכתובת IP חיצונית
בזרימות שעוברות באינטרנט בין מכונה וירטואלית שנמצאת ברשת VPC לבין נקודת קצה עם כתובת IP חיצונית, יומני הזרימה מדווחים רק מהמכונה הווירטואלית שנמצאת ברשת ה-VPC:
- בזרימות יוצאות, היומנים מדווחים מהמכונה הווירטואלית ברשת ה-VPC שהיא המקור של התנועה.
- בזרימות נכנסות, היומנים מדווחים מ-VM ברשת VPC שהוא היעד של התנועה.
בדוגמה הזו, מכונה וירטואלית 10.10.0.2 מחליפה מנות באינטרנט עם נקודת קצה שכתובת ה-IP החיצונית שלה היא 203.0.113.5. התנועה היוצאת בגודל 1,224 בייטים שנשלחה מ-10.10.0.2 אל 203.0.113.5 מדווחת ממכונת ה-VM של המקור, 10.10.0.2. תעבורת הנתונים הנכנסת של 5,342 בייט שנשלחה מ-203.0.113.5 אל 10.10.0.2 מדווחת מהיעד של תעבורת הנתונים, מכונה וירטואלית 10.10.0.2.
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
|---|---|---|---|---|
| בקשה | 10.10.0.2 | 203.0.113.5 | 1,224 |
src_instance.* src_vpc.* dest_location.* internet_routing_details.* |
| תשובה | 203.0.113.5 | 10.10.0.2 | 5,342 |
src_location.* dest_instance.* dest_vpc.* |
תהליכי עבודה מ-VM ל-VM ב-VPC משותף
עבור תעבורת נתונים מ-VM ל-VM בVPC משותף, אפשר להפעיל את VPC Flow Logs בתת-הרשת בפרויקט המארח. לדוגמה, רשת המשנה 10.10.0.0/20 שייכת לרשת VPC משותפת שהוגדרה בפרויקט מארח. אפשר לראות יומני זרימה ממכונות וירטואליות ששייכות לרשת המשנה הזו, כולל מכונות וירטואליות שנוצרו על ידי פרויקטים של שירותים. בדוגמה הזו, פרויקטי השירות נקראים שרת אינטרנט, recommendation ו-מסד נתונים.
בזרימות נתונים ממכונה וירטואלית למכונה וירטואלית, אם שתי המכונות הווירטואליות נמצאות באותו פרויקט, או במקרה של רשת משותפת, באותו פרויקט מארח, מופיעות הערות לגבי מזהה הפרויקט ופרטים דומים לגבי נקודת הקצה השנייה בחיבור. אם המכונה הווירטואלית השנייה נמצאת בפרויקט אחר, לא יסופקו הערות לגביה.
בטבלה הבאה מוצג תהליך כפי שהוא מדווח על ידי 10.10.0.10 או 10.10.0.20.
-
src_vpc.project_idו-src_vpc.project_idהם לפרויקט המארח כי רשת המשנה של ה-VPC שייכת לפרויקט המארח.dest_vpc.project_id -
src_instance.project_idו-dest_instance.project_idהם לפרויקטים של השירות, כי המופעים שייכים לפרויקטים של השירות.
|
connection .src_ip |
src_instance .project_id |
src_vpc .project_id |
connection .dest_ip |
dest_instance .project_id |
dest_vpc .project_id |
|---|---|---|---|---|---|
| 10.10.0.10 | שרת אינטרנט | host_project | 10.10.0.20 | המלצה | host_project |
הפרויקטים של השירות לא נמצאים בבעלות של רשת ה-VPC המשותפת ואין להם גישה ליומני התעבורה של רשת ה-VPC המשותפת.
זרימות נתונים מ-VM ל-VM בקישור בין רשתות VPC שכנות (peering)
אלא אם שתי המכונות הווירטואליות נמצאות באותו פרויקט, זרימות נתונים ממכונה וירטואלית למכונה וירטואלית ברשתות VPC שמקושרות לרשתות שכנות מדווחות באותו אופן כמו נקודות קצה חיצוניות – לא מסופקים פרטי הפרויקט ופרטי הערות אחרים של המכונה הווירטואלית השנייה. Google Cloud אם שתי מכונות ה-VM נמצאות באותו פרויקט, גם אם הן נמצאות ברשתות שונות, פרטי הפרויקט והערות אחרות מסופקים גם לגבי מכונת ה-VM השנייה.
בדוגמה הזו, רשתות המשנה של מכונה וירטואלית 10.10.0.2 בפרויקט analytics-prod ומכונה וירטואלית 10.50.0.2 בפרויקט webserver-test מחוברות באמצעות קישור בין רשתות VPC שכנות.
אם האפשרות 'יומני זרימה של VPC' מופעלת בפרויקט analytics-prod, התנועה (1,224 בייט) שנשלחת מ-10.10.0.2 אל 10.50.0.2 מדווחת מ-VM 10.10.0.2, שהוא המקור של הזרימה. תעבורת הנתונים (5,342 בייט) שנשלחה מ-10.50.0.2 אל 10.10.0.2 מדווחת גם מ-VM 10.10.0.2, שהוא היעד של הזרימה.
בדוגמה הזו, האפשרות VPC Flow Logs לא מופעלת בפרויקט webserver-test, ולכן לא נרשמים יומנים על ידי מכונת ה-VM 10.50.0.2.
| מדווח/ת | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
|---|---|---|---|---|
| מקור | 10.10.0.2 | 10.50.0.2 | 1,224 |
src_instance.* src_vpc.* |
| יעד | 10.50.0.2 | 10.10.0.2 | 5,342 |
dest_instance.* dest_vpc.* |
תנועה ממכונה וירטואלית למכונה וירטואלית דרך Private Service Connect
יומני הזרימה של VPC מוסיפים הערות לזרימות בין צרכנים של Private Service Connect לבין שירותים שפורסמו. בדוגמה הבאה מתואר איך VPC Flow Logs מוסיף הערות לרשומות ביומן של מכונות וירטואליות של צרכנים ויצרנים.
התנועה לשירותים שפורסמו ב-Private Service Connect מדווחת ממכונות וירטואליות של צרכנים ושל בעלי שירותים, כל עוד שתי המכונות הווירטואליות נמצאות בתתי-רשתות שמופעל בהן VPC Flow Logs. בדוגמה הזו, המכונה הווירטואלית של הצרכן, 10.10.0.2, שולחת בקשה עם 1,224 בייט לנקודת הקצה של Private Service Connect, 10.10.0.3. ב-VPC של היצרן, כתובת ה-IP של המקור של הבקשה מתורגמת לכתובת IP ברשת המשנה של קובץ השירות, שבמקרה הזה היא 10.40.0.2. כתובת ה-IP של היעד של הבקשה מתורגמת לכתובת ה-IP של מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי, 10.50.0.3. הבקשה מגיעה למכונה הווירטואלית בבק-אנד, 10.50.0.2, שנמצאת גם היא ברשת משנה שבה מופעלת רישום ביומן.
בתגובה, 10.50.0.2 משיב לבקשה עם תשובה שמכילה 5,342
בייט. הבקשה והתשובה מתועדות גם במכונות הווירטואליות ששולחות את הבקשה וגם במכונות הווירטואליות שמשיבות לבקשה. היומנים מהמכונה הווירטואלית של הצרכן זמינים בפרויקט של הצרכן, והיומנים מהמכונה הווירטואלית של הספק זמינים בפרויקט של הספק.
| כפי שדווח על ידי מכונת ה-VM של הצרכן (10.10.0.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.10.0.2 | 10.10.0.3 | 1,224 |
src_instance.* src_vpc.* psc.reporter psc.psc_endpoint.* psc.psc_attachment.* |
| תשובה | 10.10.0.3 | 10.10.0.2 | 5,342 |
dest_instance.* dest_vpc.* psc.reporter psc.psc_endpoint.* psc.psc_attachment.* |
| כפי שדווח על ידי מכונת ה-VM של המפיק (10.50.0.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.40.0.2 | 10.50.0.3 | 1,224 |
dest_instance.* dest_vpc.* psc.reporter psc.psc_attachment.* |
| תשובה | 10.50.0.3 | 10.40.0.2 | 5,342 |
src_instance.* src_vpc.* psc.reporter psc.psc_attachment.* |
זרימות מ-VM אל Google API
כדי שתעבורת הנתונים ממכונות וירטואליות לממשקי Google API דרך כתובת ה-IP החיצונית של המכונה הווירטואלית, דרך גישה פרטית ל-Google או דרך נקודת קצה של Private Service Connect, תירשם ביומני תעבורת הנתונים של VPC, צריך להוסיף לרישומים ביומן מידע על Google API.
בדוגמה הבאה מתואר איך VPC Flow Logs מוסיף הערות לרשומות ביומן של מכונת VM שניגשת ל-API גלובלי של Google דרך נקודת קצה (endpoint) של Private Service Connect.
תעבורת נתונים לממשק API של Google מדווחת על ידי מכונות VM של צרכנים, כל עוד מכונת ה-VM נמצאת ברשת משנה שבה מופעלים יומני תעבורה של VPC. בדוגמה הזו, המכונה הווירטואלית של הצרכן, 10.10.0.2, שולחת בקשה עם 1,224 בייט לנקודת הקצה של Private Service Connect, 10.10.110.10. הבקשה מועברת לשירות המתאים של Google, לדוגמה, Cloud Storage. בתגובה, Cloud Storage משיב לבקשה עם תשובה שמכילה 5,342 בייטים. הבקשה והתשובה נרשמות מהמכונה הווירטואלית ששלחה את הבקשה.
| כפי שדווח על ידי מכונת ה-VM של הצרכן (10.10.0.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.10.0.2 | 10.10.110.10 | 1,224 |
src_instance.* src_vpc.* dest_google_service.* psc.reporter psc.psc_endpoint.* |
| תשובה | 10.10.110.10 | 10.10.0.2 | 5,342 |
src_google_service.* dest_instance.* dest_vpc.* psc.reporter psc.psc_endpoint.* |
תנועה של מכונות וירטואליות דרך Cloud Load Balancing
ב-VPC Flow Logs מתווספות הערות לתעבורה שנשלחת דרך מאזן עומסי רשת להעברת סיגנל ללא שינוי, מאזן עומסי רשת בשרת proxy או מאזן עומסים של אפליקציות. בדוגמאות הבאות מניחים שמאזני העומסים האלה מוגדרים כמאזני עומסים פנימיים.
תעבורת נתונים מ-VM ל-VM דרך מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי
כשמוסיפים מכונה וירטואלית לשירות הקצה העורפי של מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי, Google Cloud מוסיף את כתובת ה-IP של מאזן העומסים לטבלת הניתוב המקומית של המכונה הווירטואלית. כך המכונה הווירטואלית יכולה לקבל חבילות של בקשות שהיעדים שלהן מוגדרים לכתובת ה-IP של מאזן העומסים. כשהמכונה הווירטואלית משיבה, היא שולחת את התשובה שלה ישירות. עם זאת, כתובת ה-IP של המקור עבור חבילות התשובה מוגדרת ככתובת ה-IP של מאזן העומסים, ולא של המכונה הווירטואלית שעליה מתבצע איזון העומסים.
דיווח על זרימות נתונים מ-VM ל-VM שנשלחות דרך מאזן עומסי רשת פנימי להעברת סיגנל ללא שינוי מתקבל גם מהמקור וגם מהיעד.
| כפי שדווח על ידי מכונה וירטואלית של לקוח (192.168.1.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 192.168.1.2 | 10.240.0.200 | 1,224 |
src_instance.* src_vpc.* load_balancing.forwarding_rule_project_id load_balancing.reporter load_balancing.type load_balancing.scheme load_balancing.forwarding_rule_name load_balancing.backend_service_name load_balancing.vpc.* |
| תשובה | 10.240.0.200 | 192.168.1.2 | 5,342 |
dest_instance.* dest_vpc.* load_balancing.forwarding_rule_project_id load_balancing.reporter load_balancing.type load_balancing.scheme load_balancing.forwarding_rule_name load_balancing.backend_service_name load_balancing.vpc.* |
| כפי שדווח על ידי מכונת ה-VM בעורף (10.240.0.3) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 192.168.1.2 | 10.240.0.200 | 1,224 |
src_instance.* src_vpc.* dest_instance.* dest_vpc.* load_balancing.* (כל השדות חוץ מ-url_map_name) |
| תשובה | 10.240.0.200 | 192.168.1.2 | 5,342 |
src_instance.* src_vpc.* dest_instance.* dest_vpc.* load_balancing.* (כל השדות חוץ מ-url_map_name) |
בבקשה שמאזן העומסים מפזר למכונה הווירטואלית של הקצה העורפי, כתובת ה-IP של המקור מוגדרת ככתובת ה-IP של המכונה הווירטואלית של הלקוח. המשמעות היא שמכונת ה-VM של ה-Backend יכולה לספק מידע על src_instance ועל dest_instance לגבי מכונת ה-VM של הלקוח. עם זאת, בניגוד למכונה הווירטואלית של ה-Backend, המכונה הווירטואלית של הלקוח לא יכולה להוסיף לדו"ח שלה את המידע src_instance ו-dest_instance על המכונה הווירטואלית של ה-Backend, כי היא שולחת את הבקשה לכתובת ה-IP של מאזן העומסים ומקבלת ממנה את התגובה, ולא מהמכונה הווירטואלית של ה-Backend.
תנועה של מכונה וירטואלית דרך מאזן עומסי רשת פנימי לשרת proxy או מאזן עומסים פנימי של אפליקציות (ALB)
תעבורת נתונים שעוברת דרך מאזן עומסי רשת פנימי לשרת proxy או מאזן עומסים פנימי של אפליקציות מדווחת על ידי מכונות וירטואליות של לקוחות, כל עוד המכונה הווירטואלית של הלקוח נמצאת ברשת משנה שבה מופעלים יומני תעבורת נתונים של VPC. לדוגמה, מכונת VM של לקוח עם כתובת ה-IP 10.10.0.2 שולחת בקשה עם 1,224 בייט לנקודת הקצה של מאזן העומסים, 10.10.0.3. הבקשה מגיעה לקצה העורפי. בתגובה, ה-Backend משיב לבקשה עם תשובה שמכילה 5,342 בייט.
הבקשה והתשובה מתועדות במכונה הווירטואלית של הלקוח. היומנים מהמכונה הווירטואלית של הלקוח זמינים בפרויקט Google Cloud שהמכונה הווירטואלית שייכת לו.
| כפי שדווח על ידי מכונת ה-VM של הלקוח (10.10.0.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.10.0.2 | 10.10.0.3 | 1,224 |
src_instance.* src_vpc.* load_balancing.forwarding_rule_project_id load_balancing.reporter load_balancing.type load_balancing.scheme load_balancing.url_map_name (for Application Load Balancer) load_balancing.forwarding_rule_name load_balancing.vpc.* |
| תשובה | 10.10.0.3 | 10.10.0.2 | 5,342 |
dest_instance.* dest_vpc.* load_balancing.forwarding_rule_project_id load_balancing.reporter load_balancing.type load_balancing.scheme load_balancing.url_map_name (for Application Load Balancer) load_balancing.forwarding_rule_name load_balancing.vpc.* |
תנועות ב-GKE
בקטעים הבאים מופיעות דוגמאות לאופן שבו VPC Flow Logs מוסיף הערות לתנועה ב-GKE שמגיעה אל פודים ומפודים.
רשימת השלבים ל-Pod ל-ClusterIP
בדוגמה הזו, תעבורת הנתונים נשלחת מ-Pod של לקוח (10.4.0.2) אל cluster-service (10.0.32.2:80). היעד מפוענח לכתובת ה-IP של ה-Pod של השרת שנבחר (10.4.0.3) ביציאת היעד (8080).
בצמתים של קצוות, הזרימה נדגמת פעמיים עם כתובת ה-IP והיציאה המתורגמות. בשתי נקודות הדגימה, נזהה ש-Pod היעד הוא שירות גיבוי cluster-service ביציאה 8080, ונוסיף לרשומה את פרטי השירות ופרטי ה-Pod. אם התנועה מנותבת ל-Pod באותו הצומת, היא לא יוצאת מהצומת ולא מתבצעת דגימה שלה בכלל.
בדוגמה הזו, הרשומות הבאות נמצאו.
| מדווח/ת | connection.src_ip | connection.dst_ip | bytes_sent | הערות |
|---|---|---|---|---|
| SRC | 10.4.0.2 | 10.4.0.3 | 1,224 |
src_instance.* src_vpc.* src_gke_details.cluster.* src_gke_details.pod.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
| DEST | 10.4.0.2 | 10.4.0.3 | 1,224 |
src_instance.* src_vpc.* src_gke_details.cluster.* src_gke_details.pod.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
תנועות נתונים של מאזן עומסים חיצוני ב-GKE
תעבורת נתונים מכתובת IP חיצונית לשירות GKE (35.35.35.35) מנותבת לצומת באשכול – 10.0.12.2 בדוגמה הזו – לצורך ניתוב. כברירת מחדל, מאזני עומסים חיצוניים להעברת סיגנל ללא שינוי מפזרים את התעבורה בין כל הצמתים באשכול, גם בין אלה שלא מריצים Pod רלוונטי. יכול להיות שהתנועה תעבור דרך עוד כמה צמתים כדי להגיע ל-Pod הרלוונטי. מידע נוסף על רשתות מחוץ לאשכול
התעבורה מנותבת מהצומת (10.0.12.2) אל ה-Pod של השרת שנבחר (10.4.0.2). שני הניתובים מתועדים כי כל קצוות הצמתים נדגמים. אם התנועה מנותבת ל-Pod באותו צומת – 10.4.0.3 בדוגמה הזו – הניתוב השני לא יתועד כי הוא לא יוצא מהצומת.
הניתור השני מתועד בנקודות הדגימה של שני הצמתים. בניתוב הראשון, אנחנו מזהים את השירות על סמך כתובת ה-IP של מאזן העומסים ויציאת השירות (80). בניתוב השני, אנחנו מזהים שתרמיל היעד מגבה את השירות ביציאת היעד (8080).
בדוגמה הזו, הרשומות הבאות נמצאו.
| מדווח/ת | connection.src_ip | connection.dst_ip | bytes_sent | הערות |
|---|---|---|---|---|
| DEST | 203.0.113.1 | 35.35.35.35 | 1,224 |
src_location.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.service.* |
| SRC | 10.0.12.2 | 10.4.0.2 | 1,224 |
src_instance.* src_vpc.* src_gke_details.cluster.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
| DEST | 10.0.12.2 | 10.4.0.2 | 1,224 |
src_instance.* src_vpc.* src_gke_details.cluster.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
תנועה נכנסת ב-GKE
חיבור מכתובת IP חיצונית ליעד Ingress מסתיים בשירות Cloud Load Balancing. החיבור ממופה לשירות NodePort
בהתאם לכתובת ה-URL. כדי לטפל בבקשה, מאזן העומסים (130.211.0.1) מתחבר לאחד מצומתי האשכול (10.0.12.2) לניתוב באמצעות NodePort של השירות. כברירת מחדל, כשיוצרים אובייקט Ingress, בקר Ingress של GKE מגדיר מאזן עומסים של HTTP(S) שמפיץ את תעבורת הנתונים בין כל הצמתים באשכול, גם בין אלה שלא מריצים Pod רלוונטי. יכול להיות שיידרשו עוד קפיצות כדי שהתנועה תגיע ל-Pod הרלוונטי. מידע נוסף זמין במאמר בנושא רשתות מחוץ לאשכול.
התנועה מנותבת מהצומת (10.0.12.2) אל ה-Pod של השרת שנבחר (10.4.0.2).
שני ההופים מתועדים כי כל קצוות הצמתים נדגמים. בניתור הראשון, אנחנו מזהים את השירות על סמך NodePort של השירות (60000). בניתור השני, אנחנו מזהים שתרמיל היעד מגבה את השירות ביציאת היעד (8080). הנתיב השני מתועד על ידי נקודות הדגימה של שני הצמתים.
עם זאת, במקרה שבו התנועה מנותבת ל-Pod באותו צומת (10.4.0.3), הצעד השני לא נרשם ביומן כי התנועה לא יצאה מהצומת.
בדוגמה הזו, הרשומות הבאות נמצאו.
| מדווח/ת | connection.src_ip | connection.dst_ip | bytes_sent | הערות |
|---|---|---|---|---|
| DEST | 130.211.0.1 | 10.0.12.2 | 1,224 |
dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.service.* |
| SRC | 10.0.12.2 | 10.4.0.2 | 1,224 |
src_instance.* src_vpc.* src_gke_details.cluster.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
| DEST | 10.0.12.2 | 10.4.0.2 | 1,224 |
src_instance.* src_vpc.* src_gke_details.cluster.* dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
תעבורת נתונים נכנסת (Ingress) ב-GKE באמצעות איזון עומסים שמקורם בקונטיינר
בקשות מכתובת IP חיצונית ליעד Ingress שמשתמש באיזון עומסים ברמת הקונטיינר מסתיימות במאזן העומסים. בסוג הזה של Ingress, Pods הם אובייקטים מרכזיים לאיזון עומסים.
לאחר מכן נשלחת בקשה ממאזן העומסים (130.211.0.1) ישירות אל Pod נבחר (10.4.0.2). אנחנו מזהים ש-Pod היעד מגבה את השירות ביעד היציאה (8080).
בדוגמה הזו, הרשומה הבאה נמצאה.
| מדווח/ת | connection.src_ip | connection.dst_ip | bytes_sent | הערות |
|---|---|---|---|---|
| DEST | 130.211.0.1 | 10.4.0.2 | 1,224 |
dest_instance.* dest_vpc.* dest_gke_details.cluster.* dest_gke_details.pod.* dest_gke_details.service.* |
העברה מ-Pod לזרימות חיצוניות
תעבורת נתונים מ-Pod (10.4.0.3) לכתובת IP חיצונית (203.0.113.1) עוברת שינוי באמצעות הסוואת כתובת IP, כך שהמנות נשלחות מכתובת ה-IP של הצומת (10.0.12.2) במקום מכתובת ה-IP של ה-Pod. כברירת מחדל, אשכול GKE מוגדר להסוות תעבורה ליעדים חיצוניים. מידע נוסף זמין במאמר בנושא סוכן להסתרת כתובת IP.
כדי לראות את ההערות של ה-Pod לגבי התנועה הזו, אפשר להגדיר את סוכן ההסוואה כך שלא יסווה את כתובות ה-IP של ה-Pod. במקרה כזה, כדי לאפשר תעבורת נתונים לאינטרנט, אפשר להגדיר Cloud NAT, שמטפל בכתובות ה-IP של ה-Pod. מידע נוסף על Cloud NAT עם GKE זמין במאמר אינטראקציה עם GKE.
בדוגמה הזו, הרשומה הבאה נמצאה.
| מדווח/ת | connection.src_ip | connection.dst_ip | bytes_sent | הערות |
|---|---|---|---|---|
| SRC | 10.0.12.2 | 203.0.113.1 | 1,224 |
src_instance.* src_vpc.* src_gke_details.cluster.* dest_location.* internet_routing_details.* |
תהליכים ללא שרת (serverless)
בתעבורה ללא שרתים, יומני הזרימה של VPC מוסיפים הערות לזרימות שנשלחות דרך נקודות קצה של Cloud Run שהוגדרו עם יציאה ישירה מ-VPC. מידע נוסף זמין במאמר בנושא פורמט השדה ServerlessDetails.
זרימות נתונים מ-Serverless ל-VM באותה רשת VPC
בזרימות משרתים וירטואליים (VM) ללא שרתים באותה רשת VPC, דוחות של יומני תעבורה מדווחים גם מהמשאבים ששולחים את הבקשה וגם מהמשאבים שמשיבים לה, כל עוד שני המשאבים נמצאים ברשתות משנה שבהן מופעלים יומני תעבורה של VPC.
בדוגמה הזו, נקודת הקצה של Cloud Run 10.10.0.2 שולחת בקשה עם 1,224 בייט למכונה הווירטואלית 10.50.0.2. בתגובה, 10.50.0.2 משיב לבקשה עם תשובה בגודל 5,342 בייט. הבקשה והתשובה מתועדות גם מנקודת הקצה ששולחת את הבקשה וגם מהמכונה הווירטואלית שמשיבה.
| כפי שדווח על ידי נקודת הקצה של Cloud Run (10.10.0.2) ששלחה את הבקשה | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.10.0.2 | 10.50.0.2 | 1,224 |
src_serverless_details.* src_vpc.* dest_instance.* dest_vpc.* |
| תשובה | 10.50.0.2 | 10.10.0.2 | 5,342 |
src_instance.* src_vpc.* dest_serverless_details.* dest_vpc.* |
| כפי שדווח על ידי מכונה וירטואלית מגיבה (10.50.0.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.10.0.2 | 10.50.0.2 | 1,224 |
src_serverless_details.* src_vpc.* dest_instance.* dest_vpc.* |
| תשובה | 10.50.0.2 | 10.10.0.2 | 5,342 |
src_instance.* src_vpc.* dest_serverless_details.* dest_vpc.* |
תהליכי קישוריות היברידית
לקישוריות היברידית דרך צירופי VLAN עבור Cloud Interconnect ומנהרות Cloud VPN, VPC Flow Logs מוסיף הערות לזרימות הבאות:
- תנועה בין מכונות וירטואליות, כולל מכונות וירטואליות שמשמשות כצמתים של GKE, ונקודות קצה מקומיות
- זרימות בין שירותי Google לבין נקודות קצה מקומיות
- תנועת נתונים בין נקודות קצה מקומיות
בדוגמה הבאה מוסבר איך VPC Flow Logs מוסיף הערות לזרימות בין מכונת VM ברשת VPC לבין נקודת קצה מקומית. הרשת מחוברת לנקודת הקצה באמצעות צירוף ל-VLAN ל-Cloud Interconnect.
במקרה של זרימות בין מכונה וירטואלית שנמצאת ברשת VPC לבין נקודת קצה מקומית עם כתובת IP פנימית, יומני הזרימה מדווחים רק מ-Google Cloud . במקורות המידע הבאים מדווחים יומני זרימת נתונים:
- המכונה הווירטואלית. הדוחות כוללים יומני תעבורה אם מופעלים יומני תעבורה ב-VPC ברשת המשנה שאליה מחוברת המכונה הווירטואלית.
- השער שמחבר את רשת ה-VPC לנקודת הקצה המקומית. דוחות של יומני תעבורה אם לשער (בדוגמה הזו, צירוף ל-VLAN) מופעלים יומני תעבורה של VPC.
בתרשים הקודם, נקודת הקצה המקומית 10.30.0.2 שולחת בקשה עם 1,224 בייטים למכונה הווירטואלית 10.0.0.2 ברשת ה-VPC.
בתגובה, המכונה הווירטואלית 10.0.0.2 משיבה לבקשה
עם תשובה שמכילה 5,243 בייטים. גם הבקשה וגם התשובה מתועדות גם בצירוף ל-VLAN וגם במכונה הווירטואלית.
| כפי שדווח על ידי צירוף ל-VLAN | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.30.0.2 | 10.0.0.2 | 1,224 |
src_gateway.* dest_instance.* dest_vpc.* |
| תשובה | 10.0.0.2 | 10.30.0.2 | 5,342 |
src_instance.* src_vpc.* dest_gateway.* |
| כפי שדווח על ידי מכונה וירטואלית (10.0.0.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.30.0.2 | 10.0.0.2 | 1,224 |
src_gateway.* dest_instance.* dest_vpc.* |
| תשובה | 10.0.0.2 | 10.30.0.2 | 5,342 |
src_instance.* src_vpc.* dest_gateway.* |
זרימות בין רשתות VPC בפרויקטים שונים
אם יומני זרימה של VPC מוגדרים לארגון והערות חוצות פרויקטים מופעלות (ברירת מחדל), תנועת הנתונים בין רשתות VPC בפרויקטים שונים מתויגת באותו אופן כמו תנועת הנתונים בין רשתות VPC באותו פרויקט. רשומות היומן של הזרימות האלה מספקות מידע על שני הצדדים של החיבור.
אם ההערות בין הפרויקטים מושבתות, רשומות היומן מספקות מידע רק על המדווח של זרימת התנועה.
הערות חוצות-פרויקטים מופעלות
בדוגמה הבאה מוסבר איך VPC Flow Logs מוסיף הערות לרשומות ביומן של תנועת נתונים מ-VM ל-VM בין פרויקטים, כשההערות בין הפרויקטים מופעלות. הערות חוצות-פרויקטים זמינות לזרימות תנועה דרך VPC משותף, קישור בין רשתות VPC שכנות ומרכז קישוריות לרשת.
המכונה הווירטואלית 10.0.0.2 שולחת בקשה עם 1,224 בייט למכונה הווירטואלית 10.0.0.1.2. בתגובה, המכונה הווירטואלית 10.0.0.1.2 משיבה לבקשה עם תשובה שמכילה 5,342 בייטים. הבקשה והתשובה מתועדות גם במכונות הווירטואליות ששלחו את הבקשה וגם במכונות הווירטואליות שהגיבו לבקשה.
| כפי שדווח על ידי מכונת ה-VM המבקשת (10.0.0.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.0.0.2 | 10.0.1.2 | 1,224 |
src_instance.* src_vpc.* dest_instance.* dest_vpc.* |
| תשובה | 10.0.1.2 | 10.0.0.2 | 5,342 |
src_instance.* src_vpc.* dest_instance.* dest_vpc.* |
| כפי שדווח על ידי מכונה וירטואלית מגיבה (10.0.1.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.0.0.2 | 10.0.1.2 | 1,224 |
src_instance.* src_vpc.* dest_instance.* dest_vpc.* |
| תשובה | 10.0.1.2 | 10.0.0.2 | 5,342 |
src_instance.* src_vpc.* dest_instance.* dest_vpc.* |
ההערות בין פרויקטים מושבתות
בדוגמה הבאה מוסבר איך VPC Flow Logs מוסיף הערות לרשומות ביומן של תעבורת נתונים מ-VM ל-VM בין פרויקטים, כשההערות בין פרויקטים מושבתות.
המכונה הווירטואלית 10.0.0.2 שולחת בקשה עם 1,224 בייט למכונה הווירטואלית 10.0.0.1.2. בתגובה, המכונה הווירטואלית 10.0.0.1.2 משיבה לבקשה עם תשובה שמכילה 5,342 בייטים. הבקשה והתשובה מתועדות גם במכונות הווירטואליות ששלחו את הבקשה וגם במכונות הווירטואליות שהגיבו לבקשה. עם זאת, לא מסופק מידע על מכונת ה-VM השנייה.
| כפי שדווח על ידי מכונת ה-VM המבקשת (10.0.0.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.0.0.2 | 10.0.1.2 | 1,224 |
src_instance.* src_vpc.* |
| תשובה | 10.0.1.2 | 10.0.0.2 | 5,342 |
dest_instance.* dest_vpc.* |
| כפי שדווח על ידי מכונה וירטואלית מגיבה (10.0.1.2) | ||||
|---|---|---|---|---|
| request-reply | connection.src_ip | connection.dest_ip | bytes_sent | הערות |
| בקשה | 10.0.0.2 | 10.0.1.2 | 1,224 |
dest_instance.* dest_vpc.* |
| תשובה | 10.0.1.2 | 10.0.0.2 | 5,342 |
src_instance.* src_vpc.* |