Log di flusso VPC

I log di flusso VPC campionano i pacchetti nella rete Virtual Private Cloud (VPC) per generare log di flusso. I log di flusso vengono aggregati per connessione IP (5-tuple). I log di flusso VPC campionano i seguenti pacchetti:

• Pacchetti inviati e ricevuti da istanze di macchine virtuali (VM), incluse le istanze utilizzate come nodi Google Kubernetes Engine
• Pacchetti inviati e ricevuti dalle risorse Cloud Run configurate con traffico VPC diretto in uscita
• Pacchetti inviati tramite collegamenti VLAN per Cloud Interconnect e tunnel Cloud VPN

Puoi visualizzare i log di flusso in Cloud Logging ed esportarli in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging. Questi log possono essere utilizzati per monitoraggio della rete, analisi forense, analisi della sicurezza e ottimizzazione delle spese.

Per ulteriori informazioni, consulta Configurazioni supportate.

Casi d'uso

Di seguito sono riportati i casi d'uso dei log di flusso VPC.

Monitoraggio rete

I log di flusso VPC forniscono visibilità sul throughput e sulle prestazioni della rete. Puoi:

• Monitorare la rete VPC
• Eseguire la diagnostica di rete
• Filtrare i log di flusso per VM, endpoint serverless, collegamenti VLAN e tunnel Cloud VPN per comprendere le modifiche del traffico
• Comprendere la crescita del traffico per la previsione della capacità

Comprendere l'utilizzo della rete e ottimizzare le spese per il traffico di rete

Puoi analizzare l'utilizzo della rete con i log di flusso VPC per ottimizzare le spese per il traffico di rete. Ad esempio, puoi analizzare i flussi di rete per quanto segue:

• Traffico tra regioni e zone
• Traffico verso paesi specifici su internet
• Traffico verso reti on-premise e di altri cloud
• I principali interlocutori della rete, tra cui VM, endpoint serverless, collegamenti VLAN e tunnel Cloud VPN

Network Forensics

Puoi utilizzare i log di flusso VPC per la network forensics. Ad esempio, se si verifica un incidente, puoi esaminare quanto segue:

• Quali indirizzi IP hanno comunicato tra loro e quando
• Quali IP sono compromessi analizzando tutti i flussi di rete in entrata e in uscita

Configurazioni supportate

Puoi abilitare i log di flusso VPC a livello di organizzazione e progetto. Una configurazione dei log di flusso VPC a livello di organizzazione abilita i log di flusso per tutte le subnet, i collegamenti VLAN e i tunnel Cloud VPN in tutte le reti VPC dell'organizzazione.

A livello di progetto, puoi abilitare i log di flusso VPC per reti VPC, subnet, collegamenti VLAN e tunnel Cloud VPN specifici.

Ambito di configurazione	Genera log di flusso per queste risorse	Passaggi per l'abilitazione
Organizzazione	Tutte le istanze VM e le risorse Cloud Run in tutte le subnet dell'organizzazione Tutti i collegamenti VLAN nell'organizzazione Tutti i tunnel Cloud VPN nell'organizzazione	Abilitare i log di flusso VPC per un'organizzazione
Rete VPC	Tutte le istanze VM e le risorse Cloud Run in tutte le subnet nella rete VPC Tutti i collegamenti VLAN nella rete VPC Tutti i tunnel Cloud VPN nella rete VPC	Abilitare i log di flusso VPC per una rete VPC
Subnet	Tutte le istanze VM e le risorse Cloud Run in una subnet specifica	Abilitare i log di flusso VPC per una subnet: Consigliato: abilitare i log di flusso VPC per una subnet (API Network Management) Abilitare i log di flusso VPC per una subnet (API Compute Engine)
Collegamento VLAN	Un collegamento VLAN specifico	Abilitare i log di flusso VPC per un collegamento VLAN
Tunnel Cloud VPN	Un tunnel Cloud VPN specifico	Abilitare i log di flusso VPC per un tunnel Cloud VPN

Puoi utilizzare i filtri per personalizzare questi ambiti di configurazione. Per ulteriori informazioni, consulta Campionamento ed elaborazione dei log.

Raccolta di log

I pacchetti vengono campionati all'interno di un intervallo di aggregazione. Tutti i pacchetti raccolti per una determinata connessione IP all'interno dell'intervallo di aggregazione vengono aggregati in una singola voce di log di flusso. Questi dati vengono quindi inviati a Logging nel Google Cloud progetto della rete VPC che ha segnalato il flusso.

Per impostazione predefinita, i log vengono archiviati in Logging per 30 giorni. Se vuoi conservare i log per un periodo più lungo, puoi impostare un periodo di conservazione personalizzato o esportarli in una destinazione supportata.

Campionamento ed elaborazione dei log

Per generare log di flusso, i log di flusso VPC campionano i pacchetti nella rete VPC, inclusi i pacchetti inviati e ricevuti da VM ed endpoint serverless e i pacchetti che passano attraverso gateway come collegamenti VLAN o tunnel Cloud VPN. Dopo la generazione dei log di flusso, i log di flusso VPC li elaborano seguendo la procedura descritta in questa sezione.

I log di flusso VPC campionano i pacchetti utilizzando una frequenza di campionamento primaria. La frequenza di campionamento primaria è dinamica e varia a seconda del carico dell'host fisico che esegue la risorsa di reporting al momento del campionamento. La probabilità di campionamento di una singola connessione IP aumenta con il volume di pacchetti. Non puoi controllare il processo di campionamento dei log di flusso primario né modificare la frequenza di campionamento primaria.

Dopo la generazione dei log di flusso, i log di flusso VPC li elaborano secondo la seguente procedura:

1. Filtri. Puoi specificare che vengano generati solo i log che corrispondono a criteri specificati. Ad esempio, puoi filtrare in modo che vengano generati solo i log per una determinata VM o solo i log con un determinato valore di metadati e il resto venga eliminato. Per ulteriori informazioni, consulta Filtro dei log.
2. Aggregazione. Le informazioni relative ai pacchetti campionati vengono aggregate in un intervallo di aggregazione configurabile per produrre una voce di log di flusso.
3. Campionamento secondario dei log di flusso. Si tratta di un secondo processo di campionamento. Le voci di log di flusso vengono campionate ulteriormente in base a un parametro frequenza di campionamento secondaria configurabile. Il campionamento secondario viene eseguito sui log di flusso generati dal processo di campionamento primario dei log di flusso. Ad esempio, se la frequenza di campionamento secondaria è impostata su 1.0, ovvero 100%, i log di flusso VPC campionano il 100% dei log di flusso generati dal campionamento primario dei log di flusso.
4. Metadati. Se disabilitate, tutte le annotazioni sui metadati vengono eliminate. Se vuoi conservare i metadati, puoi conservare tutti i campi o un insieme specifico di campi. Per ulteriori informazioni, consulta Annotazioni sui metadati.
5. Scrittura in Logging. Le voci di log finali vengono scritte in Cloud Logging.

Poiché i log di flusso VPC non acquisiscono tutti i pacchetti, compensano i pacchetti mancanti interpolando i pacchetti acquisiti. Questo accade per i pacchetti mancanti a causa delle impostazioni di campionamento iniziali e configurabili dall'utente.

Anche se Google Cloud non acquisisce tutti i pacchetti, le acquisizioni nel record di log possono essere piuttosto grandi. Puoi bilanciare le esigenze di visibilità del traffico e costi di archiviazione modificando i seguenti aspetti della raccolta dei log:

• Intervallo di aggregazione. I pacchetti campionati per un intervallo di tempo vengono aggregati in una singola voce di log. Questo intervallo di tempo può essere 5 secondi (impostazione predefinita), 30 secondi, 1 minuto, 5 minuti, 10 minuti o 15 minuti.
• Frequenza di campionamento secondaria.
  • Per le configurazioni create con l'API Compute Engine, per impostazione predefinita viene conservato il 50% delle voci di log. Puoi impostare questo parametro da 1.0 (100%, tutte le voci di log vengono conservate) a 0.0 (0%, non vengono conservati log).
  • Per le configurazioni create con l'API di gestione della rete, per impostazione predefinita viene conservato il 100% delle voci di log. Puoi impostare questo parametro da 1.0 a un valore maggiore di 0.0.
• Annotazioni sui metadati. Per impostazione predefinita, le voci di log di flusso vengono annotate con informazioni sui metadati, ad esempio i nomi dell'origine e della destinazione all'interno di Google Cloud o la regione geografica delle origini e destinazioni esterne. Le annotazioni sui metadati possono essere disattivate oppure puoi specificare solo determinate annotazioni per risparmiare spazio di archiviazione.
• Filtri. Per impostazione predefinita, i log vengono generati per ogni flusso campionato. Puoi impostare filtri per generare log che corrispondono solo a determinati criteri.

Specifiche

• Se abilitati, i log di flusso VPC non introducono ritardi o penalità di prestazioni.
• I log di flusso VPC funzionano con le reti VPC, non con le reti legacy.
• I log di flusso VPC campionano i flussi TCP, UDP, ICMP, ESP, GRE, e RDMA:
  • Vengono campionati sia i flussi in entrata che quelli in uscita. Per RDMA su Converged Ethernet (RoCE), vengono campionati solo i flussi in uscita.
  • I flussi possono essere all'interno di Google Cloud o tra Google Cloud e altre reti.
  • Se un flusso viene acquisito tramite campionamento, i log di flusso VPC generano un log per il flusso. Ogni record di flusso include le informazioni descritte nella sezione Formato del record.
  • I log di flusso non indicano quale endpoint ha avviato il flusso, ma identificano la direzione del pacchetto.
• I log di flusso VPC interagiscono con le regole firewall nei seguenti modi:
  • I pacchetti in uscita vengono campionati prima delle regole firewall in uscita. Anche se una regola firewall in uscita nega i pacchetti in uscita, questi pacchetti possono essere campionati dai log di flusso VPC.
  • I pacchetti in entrata vengono campionati dopo le regole firewall in entrata. Se una regola firewall in entrata nega i pacchetti in entrata, questi pacchetti non vengono campionati dai log di flusso VPC.
• Puoi utilizzare i filtri nei log di flusso VPC per generare solo determinati log.
• I log di flusso VPC supportano le VM con più interfacce di rete. In ogni VPC, devi abilitare i log di flusso VPC per ogni subnet che contiene un'interfaccia di rete.
• Per registrare i flussi tra i pod sullo stesso nodo Google Kubernetes Engine (GKE), devi abilitare la visibilità intranodo per il cluster.
• I log di flusso VPC non sono supportati per le subnet con scopo INTERNAL_HTTPS_LOAD_BALANCER perché queste subnet vengono utilizzate come subnet solo proxy e non hanno istanze VM o endpoint serverless.
• I log di flusso VPC scrivono i log nel progetto della rete VPC di reporting. Per le risorse nelle reti VPC condiviso, i log vengono segnalati nel progetto host.

Prezzi e fatturazione

Si applicano prezzi standard per Logging, BigQuery o Pub/Sub. I prezzi dei log di flusso VPC sono descritti in Network Telemetry pricing.

I costi dei log di flusso VPC vengono addebitati al Google Cloud progetto della risorsa che segnala i log di flusso. Se i log di flusso VPC sono abilitati per un'organizzazione, ogni progetto viene fatturato separatamente.

Passaggi successivi

• Per saperne di più sul formato dei record dei log di flusso VPC e sulle annotazioni sui metadati disponibili, consulta Informazioni sui record dei log di flusso VPC.
• Per visualizzare esempi di log di flusso VPC raccolti per vari casi d'uso, consulta Informazioni sui flussi di traffico.
• Per iniziare a segnalare i flussi per una subnet, consulta Configurare i log di flusso VPC.