Registros de fluxo de VPC

Os registros de fluxo de VPC fazem uma amostragem de pacotes na sua rede de nuvem privada virtual (VPC) para gerar registros de fluxo. Os registros de fluxo são agregados por conexão de IP (5-tupla). Os registros de fluxo de VPC fazem a amostragem dos seguintes pacotes:

É possível ver os registros de fluxo no Cloud Logging e exportá-los para qualquer destino compatível com a exportação do Cloud Logging. Esses registros podem ser usados para monitoramento de rede, perícia forense, análise de segurança e otimização de despesas.

Para mais informações, consulte Configurações compatíveis.

Casos de uso

Confira a seguir alguns casos de uso dos registros de fluxo da VPC.

Monitoramento de rede

Os registros de fluxo de VPC fornecem visibilidade sobre capacidade de processamento e desempenho. É possível:

  • monitorar a rede VPC;
  • realizar o diagnóstico de rede;
  • Filtrar os registros de fluxo por VMs, anexos de VLAN e túneis do Cloud VPN para entender as mudanças no tráfego
  • entender o crescimento do tráfego para previsão de capacidade.

Como entender o uso da rede e como otimizar as despesas de tráfego de rede

É possível analisar o uso da rede com os registros de fluxo de VPC para otimizar as despesas de tráfego de rede. Por exemplo, você pode analisar os fluxos de rede para:

  • tráfego entre regiões e zonas;
  • tráfego para países específicos na Internet;
  • Tráfego para redes no local e outras redes na nuvem
  • Principais usuários na rede, incluindo VMs, anexos da VLAN e túneis do Cloud VPN

Perícia forense da rede

É possível usar os registros de fluxo de VPC para fazer uma análise forense na rede. Por exemplo, se houver um incidente, você pode examinar:

  • Quais endereços IP se comunicaram entre si e quando
  • Quais IPs estão comprometidos, analisando todos os fluxos de rede de entrada e saída

Configurações aceitas

É possível ativar os registros de fluxo de VPC nos níveis da organização e do projeto. Uma configuração de registros de fluxo de VPC no nível da organização ativa os registros de fluxo para todas as sub-redes, anexos de VLAN e túneis do Cloud VPN em todas as redes VPC da organização.

No nível do projeto, é possível ativar os registros de fluxo de VPC para redes VPC, sub-redes, anexos de VLAN e túneis do Cloud VPN específicos.

Escopo da configuração Gera registros de fluxo para esses recursos Etapas para ativar
Organização
  • Todas as instâncias de VM em todas as sub-redes da organização
  • Todos os anexos da VLAN na organização
  • Todos os túneis do Cloud VPN na organização
Ativar os registros de fluxo de VPC para uma organização
Rede VPC
  • Todas as instâncias de VM em todas as sub-redes da rede VPC
  • Todos os anexos da VLAN na rede VPC
  • Todos os túneis do Cloud VPN na rede VPC
Ativar os registros de fluxo de VPC para uma rede VPC
Sub-rede Todas as instâncias de VM em uma sub-rede específica

Ative os registros de fluxo de VPC para uma sub-rede:

Anexo da VLAN Um anexo da VLAN específico Ativar os Registros de fluxo de VPC para um anexo da VLAN
Túnel do Cloud VPN Um túnel específico do Cloud VPN Ativar os Registros de fluxo de VPC para um túnel do Cloud VPN

É possível usar a filtragem para personalizar esses escopos de configuração. Para mais informações, consulte Amostragem e processamento de registros.

Coleta de registros

A amostragem dos pacotes é feita dentro de um intervalo de agregação. Todos os pacotes coletados para uma determinada conexão de IP no intervalo de agregação são agregados em uma única entrada de registro de fluxo. Esses dados são enviados para o Logging no projeto Google Cloud da rede VPC que informou o fluxo.

Os registros são armazenados no Logging por 30 dias, por padrão. Se você quiser manter os registros por mais tempo, será possível definir um período de retenção personalizado ou exportá-los para um destino compatível.

Amostragem e processamento de registros

Para gerar logs de fluxo, os registros de fluxo de VPC coletam amostras de pacotes que saem e entram em uma VM ou passam por um gateway, como um anexo da VLAN ou um túnel do Cloud VPN na nuvem. Após a geração dos registros de fluxo, os registros de fluxo de VPC os processam seguindo o procedimento descrito nesta seção.

Os registros de fluxo de VPC fazem a amostragem de pacotes usando uma taxa de amostragem principal. A taxa de amostragem primária é dinâmica e varia dependendo da carga do host físico que executa a VM ou o gateway no durante o período de amostragem. A probabilidade de amostragem de qualquer conexão IP única aumenta com o volume de pacotes. Não é possível controlar o processo de amostragem do registro de fluxo principal nem ajustar a taxa de amostragem principal.

Depois que os registros de fluxo são gerados, os registros de fluxo da VPC os processam de acordo com o seguinte procedimento:

  1. Filtragem. É possível especificar que apenas os registros que corresponderem a critérios especificados serão gerados. Por exemplo, é possível filtrar para que apenas os registros de uma determinada VM ou apenas os registros com um determinado valor de metadados sejam gerados, enquanto o restante é descartado. Para mais informações, consulte Filtragem de registros.
  2. Agregação. As informações dos pacotes da amostragem são agregadas em um intervalo de agregação configurável para produzir uma entrada de registro de fluxo.
  3. Amostragem do registro de fluxo secundário. Esse é um segundo processo de amostragem. Entradas do registro de fluxo são amostradas posteriormente de acordo com um parâmetro configurável de taxa de amostragem secundária. A amostragem secundária é realizada nos registros de fluxo gerados pelo processo de amostragem de registro de fluxo principal. Por exemplo, se a taxa de amostragem secundária for definida como 1.0 ou 100%, os Registros de fluxo da VPC farão a amostragem de 100% dos registros de fluxo gerados pela amostragem de registro de fluxo principal.
  4. Metadados. Se desativado, todas as anotações de metadados serão descartadas. Se quiser manter os metadados, você poderá reter todos os campos ou um conjunto específico deles. Para mais informações, consulte Anotações de metadados.
  5. Gravar no Logging. As entradas de registro finais são gravadas no Cloud Logging.

Como os registros de fluxo de VPC não capturam todos os pacotes, eles compensam os pacotes ausentes por meio da interpolação dos pacotes capturados. Isso acontece com os pacotes perdidos devido a configurações de amostragem iniciais e definidas pelo usuário.

Embora o Google Cloud não capture todos os pacotes, as capturas de registros podem ser muito grandes. É possível equilibrar a visibilidade do tráfego e suas necessidades de custo de armazenamento ajustando os seguintes aspectos da coleta de registros:

  • Intervalo de agregação. Os pacotes amostrados para um intervalo de tempo são agregados em uma única entrada de registro. Esse intervalo de tempo pode ser de 5 segundos (padrão), 30 segundos, 1 minuto, 5 minutos, 10 minutos ou 15 minutos.
  • Taxa de amostragem secundária.
    • Para configurações criadas com a API Compute Engine, 50% das entradas de registro são mantidas por padrão. É possível definir esse parâmetro de 1.0 (100%, todas as entradas de registro serão mantidas) até 0.0 (0%, nenhum registro será mantido).
    • Para configurações criadas com a API Network Management, 100% das entradas de registro são mantidas por padrão. É possível definir isso de 1.0 para maior que 0.0.
  • Anotações de metadados. Por padrão, as entradas do registro de fluxo são anotadas com informações de metadados, como os nomes da origem e do destino no Google Cloud ou a região geográfica de origens e destinos externos. É possível desativar as anotações de metadados ou especificar apenas algumas anotações para economizar espaço de armazenamento.
  • Filtragem. Por padrão, os registros são gerados para cada fluxo amostrado. É possível definir filtros para gerar registros que correspondam apenas a determinados critérios.

Especificações

  • Eles não causam atrasos ou penalidades de desempenho quando ativados.
  • Os registros de fluxo de VPC funcionam com redes VPC, não com redes legadas.
  • Os registros de fluxo de VPC fornecem amostras de fluxos TCP, UDP, ICMP, ESP, GRE e RDMA:
    • São fornecidas amostras para os fluxos de entrada e os de saída. Para RDMA em Ethernet convergente (RoCE), apenas os fluxos de saída são coletados.
    • Os fluxos podem estar dentro Google Cloud ou entre Google Cloud e outras redes.
    • Se um fluxo for capturado por amostragem, os registros de fluxo de VPC gerarão um registro para o fluxo. Cada registro de fluxo inclui as informações descritas na seção Formato do registro.
  • Os registros de fluxo de VPC interagem com as regras de firewall das seguintes maneiras:
    • Os pacotes de saída são amostrados antes das regras de firewall de saída. Mesmo que uma regra de firewall de saída negue pacotes de saída, é possível que esses pacotes sejam amostrados por registros de fluxo de VPC.
    • Os pacotes de entrada são amostrados depois das regras de firewall de entrada. Se uma regra de firewall de entrada negar pacotes de entrada, esses pacotes não serão amostrados por registros de fluxo de VPC.
  • É possível usar filtros nos registros de fluxo de VPC para gerar apenas determinados registros.
  • Os registros de fluxo de VPC são compatíveis com VMs que têm várias interfaces de rede. Em cada VPC, é necessário ativar os registros de fluxo de VPC para cada sub-rede que contenha uma interface de rede.
  • Para registrar fluxos entre pods no mesmo nó do Google Kubernetes Engine (GKE), ative a visibilidade intranós no cluster.
  • Os registros de fluxo de VPC não são compatíveis com recursos do Cloud Run.
  • Os registros de fluxo de VPC não são compatíveis com sub-redes com a finalidade INTERNAL_HTTPS_LOAD_BALANCER porque elas são usadas como sub-redes somente proxy e não têm instâncias de VM.
  • Os registros de fluxo da VPC gravam registros no projeto da rede VPC de relatório. Para recursos em redes VPC compartilhada, os registros são informados no projeto host.

Preços e faturamento

São aplicados preços padrão para o Logging, BigQuery ou Pub/Sub. Os preços de registros de fluxo de VPC estão descritos em Preços de telemetria de rede.

As cobranças dos registros de fluxo de VPC são faturadas para o projeto Google Cloud do recurso que informa os registros de fluxo. Se os registros de fluxo de VPC estiverem ativados para uma organização, cada projeto será cobrado separadamente.

A seguir