虛擬私有雲流量記錄
虛擬私有雲流量記錄會從虛擬私有雲 (VPC) 網路中取樣封包,藉此產生流量記錄。流量記錄會依 IP 連線 (5 元組) 匯總。虛擬私有雲流量記錄會對下列封包取樣:
- 虛擬機器 (VM) 執行個體收發的封包,包括做為 Google Kubernetes Engine 節點的執行個體
- 從 Cloud Run 資源傳送及接收的封包,這些資源已設定直接虛擬私有雲輸出
- 透過 Cloud Interconnect 的 VLAN 連結和 Cloud VPN 通道傳送的封包
您可以在 Cloud Logging 中查看流量記錄,也能將記錄匯出至 Cloud Logging 匯出功能支援的任何目的地。這類記錄檔可用於網路監控、鑑識、安全性分析和支出最佳化。
詳情請參閱「支援的設定」。
用途
以下是虛擬私有雲流程記錄檔的用途。
網路監控
虛擬私有雲流量記錄可讓您掌握網路輸送量和效能。您可以:
- 監控虛擬私人雲端網路
- 執行網路診斷
- 依 VM、無伺服器端點、VLAN 連結和 Cloud VPN 通道篩選流程記錄,以利瞭解流量變化
- 瞭解流量增加情形,以利預測容量
瞭解網路用量並調整最理想的網路流量費用
您可以透過虛擬私有雲流量記錄分析網路用量,進而節省網路流量費用。舉例來說,您可以分析下列項目的網路流量:
- 地區和區域之間的流量
- 網際網路上傳送至特定國家/地區的流量
- 傳入地端部署和其他雲端網路的流量
- 網路中傳輸量最高的項目,包括 VM、無伺服器端點、VLAN 連結和 Cloud VPN 通道
網路識別
您可以使用虛擬私有雲流量記錄進行網路鑑識。舉例來說,您可以在事件發生時檢查以下事項:
- 哪些 IP 位址曾相互通訊,以及通訊時間
- 藉由分析所有連入和連出網路流量,找出遭駭的 IP 位址
支援的設定
您可以在組織和專案層級啟用虛擬私有雲流量記錄。組織層級的虛擬私有雲流量記錄設定,可為組織中所有虛擬私有雲網路的所有子網路、VLAN 連結和 Cloud VPN 通道啟用流量記錄。
在專案層級,您可以為特定虛擬私有雲網路、子網路、VLAN 連結和 Cloud VPN 通道啟用虛擬私有雲流量記錄。
| 設定範圍 | 為這些資源產生流程記錄 | 啟用步驟 |
|---|---|---|
| 機構 |
|
為機構啟用虛擬私有雲流量記錄 |
| 虛擬私有雲網路 |
|
為虛擬私有雲網路啟用虛擬私有雲流量記錄 |
| 子網路 | 特定子網路中的所有 VM 執行個體和 Cloud Run 資源 | 為子網路啟用虛擬私有雲流量記錄: |
| VLAN 連結 | 特定 VLAN 連結 | 為 VLAN 連結啟用虛擬私有雲流量記錄 |
| Cloud VPN 通道 | 特定 Cloud VPN 通道 | 為 Cloud VPN 通道啟用虛擬私有雲流量記錄 |
您可以透過篩選器自訂這些設定範圍。詳情請參閱「記錄檔取樣與處理」。
記錄收集
系統會在匯總間隔內取樣封包。在匯總間隔內,針對指定 IP 連線收集的所有封包,都會匯總到單一流程記錄項目中。然後,這項資料會傳送至 Google Cloud 虛擬私有雲網路專案中的記錄,該專案回報了流程。
記錄預設會在 Logging 中儲存 30 天。如想延長記錄保留時間,可以設定自訂保留期限,或將記錄匯出到可支援的目的地。
記錄檔取樣與處理
如要產生流量記錄,虛擬私有雲流量記錄會對虛擬私有雲網路中的封包取樣,包括 VM 和無伺服器端點收發的封包,以及通過閘道的封包,例如 VLAN 連結或 Cloud VPN 通道。產生流程記錄後,虛擬私有雲流量記錄會按照本節所述程序處理這些記錄。
虛擬私有雲流量記錄檔會使用主要取樣率對封包取樣。主要取樣率是動態的,取決於取樣時執行報表資源的實體主機負載。封包數量越多,取樣任何單一 IP 連線的機率就越高。您無法控制主要流量記錄檔取樣程序,也無法調整主要取樣率。
產生流量記錄後,虛擬私有雲流量記錄會按照下列程序處理這些記錄:
- 篩選。您可以指定只產生符合特定條件的記錄。舉例來說,您可以篩選記錄,只產生特定 VM 的記錄,或只產生具有特定中繼資料值的記錄,其餘記錄則會捨棄。詳情請參閱篩選記錄。
- 匯總:系統會匯總可設定的匯總間隔內取樣封包的資訊,產生流量記錄項目。
- 次要流量記錄檔取樣。這是第二次取樣程序。系統會根據可設定的次要取樣率參數,進一步對流程記錄項目進行取樣。次級取樣作業的取樣對象,是初級流量記錄檔取樣程序產生的流量記錄。舉例來說,如果次級取樣率設為 1.0 或 100%,則對於由初級流量記錄檔取樣作業所產生的流量記錄檔,虛擬私有雲流量記錄檔會 100% 取樣。
- 中繼資料。如果停用,系統會捨棄所有中繼資料註解。如要保留中繼資料,可以保留所有欄位或特定欄位。詳情請參閱「中繼資料註解」。
- 寫入記錄。最終的記錄項目會寫入 Cloud Logging。
由於虛擬私有雲端流程記錄不會擷取每個封包,因此會從擷取的封包進行插補,以補償遺失的封包。這是因為初始和使用者可設定的取樣設定,導致封包遺失。
即使 Google Cloud 不會擷取每個封包,記錄擷取也可能會非常大。您可以對記錄收集的下列方面進行調整,以在流量瀏覽權限與儲存費用需求之間取得平衡:
- 匯總時間間隔。系統會將某個時間間隔的取樣封包匯總到單一記錄項目中。這個時間間隔可以是 5 秒 (預設)、30 秒、1 分鐘、5 分鐘、10 分鐘或 15 分鐘。
- 次級取樣率。
- 如果是透過 Compute Engine API 建立的設定,系統預設會保留 50% 的記錄項目。您可以將這個參數從
1.0(100%,即會保留所有記錄項目) 設定為0.0(0%,即不會保留任何項目)。 - 如果是使用 Network Management API 建立的設定,系統預設會保留 100% 的記錄項目。您可以將
1.0的這個參數設為大於0.0。
- 如果是透過 Compute Engine API 建立的設定,系統預設會保留 50% 的記錄項目。您可以將這個參數從
- 中繼資料註解。根據預設,流程記錄項目會以中繼資料資訊加註,例如 Google Cloud 內來源與目的地的名稱,或外部來源與目的地的地理區域。您可以關閉中繼資料註解,或只指定特定註解,以節省儲存空間。
- 篩選。根據預設,系統會為每個取樣流程產生記錄。 您可以設定篩選條件,只產生符合特定條件的記錄。
規格
- 啟用虛擬私有雲流量記錄檔時,不會造成延遲或效能降低。
- 虛擬私有雲流量記錄適用於虛擬私有雲網路,不適用於舊版網路。
- 虛擬私有雲流量記錄會取樣 TCP、UDP、ICMP、ESP、GRE 和 RDMA 流量:
- 系統會對傳入和傳出流程進行取樣。如果是透過融合乙太網路 (RoCE) 的 RDMA,則只會取樣輸出流程。
- 流量可位於 Google Cloud 或介於 Google Cloud 其他網路之間。
- 如果取樣作業擷取到流量,虛擬私有雲流量記錄就會產生該流量的記錄。每項流程記錄都會包含記錄格式一節說明的資料。
- 虛擬私有雲流程記錄會透過下列方式與防火牆規則互動:
- 系統會在輸出防火牆規則「之前」取樣輸出封包。即使輸出防火牆規則拒絕輸出封包,虛擬私有雲端流程記錄仍可對這些封包進行取樣。
- 系統會在輸入防火牆規則之後,對輸入封包進行取樣。如果輸入防火牆規則拒絕傳入封包,虛擬私有雲流程記錄就不會對這些封包進行取樣。
- 您可以在虛擬私有雲端流程記錄檔中使用篩選器,只產生特定記錄。
- 虛擬私有雲流程記錄支援具有多個網路介面的 VM。在每個虛擬私有雲中,您需要為包含網路介面的每個子網路啟用虛擬私有雲流量記錄。
- 如要記錄相同 Google Kubernetes Engine (GKE) 節點上 Pod 之間的流量,您必須為叢集啟用節點內可視性。
- 用途為
INTERNAL_HTTPS_LOAD_BALANCER的子網路不支援虛擬私有雲流量記錄,因為這些子網路僅做為 Proxy 子網路,沒有 VM 執行個體或無伺服器端點。 - 虛擬私有雲流量記錄會將記錄寫入報表虛擬私有雲網路的專案。如果是共用虛擬私有雲網路中的資源,記錄會回報至主專案。
價格與計費
這項服務以 Logging、BigQuery 或 Pub/Sub 的標準價格計費。如要瞭解虛擬私有雲流量記錄定價,請參閱網路遙測定價一文。
系統會向 Google Cloud 回報流量記錄的資源所屬專案收取虛擬私有雲流量記錄費用。如果機構啟用虛擬私有雲流量記錄,每個專案的費用會分開計算。
後續步驟
- 如要進一步瞭解虛擬私有雲流量記錄的記錄格式,以及可用的中繼資料註解,請參閱「關於虛擬私有雲流量記錄」。
- 如要查看各種用途的虛擬私有雲流量記錄收集範例,請參閱「關於流量流程」。
- 如要開始回報子網路的流量,請參閱「設定虛擬私有雲流量記錄」。