Flow Analyzer 簡介

您可以使用 Flow Analyzer 快速有效地瞭解虛擬私有雲 (VPC) 流量,不必編寫複雜的 SQL 查詢來分析 VPC 流量記錄。Flow Analyzer 可讓您以 5 元組的精細程度 (來源 IP、目的地 IP、來源通訊埠、目的地通訊埠和通訊協定) 執行主觀的網路流量分析。

流程分析器是使用 Log Analytics 開發,並由 BigQuery 提供支援,可深入分析 VM 執行個體的進出流量。您可以監控、排解疑難,並最佳化網路部署作業,進而提升效能和安全性,有助於確保法規遵循並節省成本。

Flow Analyzer 會分析儲存在記錄值區 (記錄格式) 中的 VPC 流量記錄資料。如要使用流量分析器,您必須選取含有虛擬私有雲流量記錄的記錄檔 bucket 專案。詳情請參閱「虛擬私有雲流量記錄總覽」。虛擬私有雲流量記錄檔可用於網路監控、鑑識、即時安全性分析和支出最佳化。

Flow Analyzer 會針對虛擬私有雲流量記錄檔中的欄位執行查詢。詳情請參閱「虛擬私有雲流量記錄檔的主要屬性」。

您可以使用 Flow Analyzer 執行下列工作:

  • 對虛擬私有雲流量記錄建構及執行簡單查詢
  • 使用 WHERE 陳述式,為 VPC 資料流記錄查詢建立 SQL 篩選器
  • 使用所選欄位整理結果,並使用總流量和匯總封包排序查詢結果
  • 查看所選時間間隔的流量
  • 以圖表格式查看與其他流量相比,哪五個流量流量流量最高
  • 以表格格式查看在所選時間範圍內,流量匯總最高的資源
  • 查看特定來源和目的地組合在查詢結果中的流量詳細資料
  • 使用虛擬私有雲流量記錄檔中的其他欄位,深入查看查詢結果

運作方式

虛擬私有雲流量記錄會從 VPC 資源 (例如 VM 執行個體和 Google Kubernetes Engine 節點) 收發的網路流量中取樣,並記錄下來。

您可以在 Cloud Logging 中查看流量記錄檔,並將記錄檔匯出至 Logging 匯出功能支援的任何目的地。您可以使用 Log Analytics 執行查詢來分析記錄資料,然後以圖表和表格形式顯示查詢結果。

流程分析器會使用 Log Analytics,讓您針對虛擬私有雲流程記錄執行查詢,並提供最高資料流量圖表和表格等資訊,進一步瞭解流量流程。

查詢元件

如要分析及瞭解流量,您必須對虛擬私有雲流量記錄檔執行查詢。流量分析器可協助您建立查詢、自訂顯示選項,並深入查看及監控流量流。

流量匯總

如要分析虛擬私有雲流量,您必須決定要採用哪種匯總方法,才能篩選資源之間的流量。Flow Analyzer 會以以下方式將流量記錄檔歸類,以便匯總:

  • 來源和目的地:這個選項會使用虛擬私有雲流量記錄中的 SRCDEST 資訊。這個檢視畫面會匯總從來源到目的地的流量。
  • 用戶端和伺服器:這個選項會嘗試找出連線發起端。系統會將通訊埠編號較小的資源視為伺服器。系統也會將定義為 gke_service 的資源視為伺服器,因為服務不會發出要求。這個檢視畫面會匯總雙向流量。

時間範圍選取器

預設時間範圍為一小時,但您可以使用時間範圍選取器,從預設時間選項中選取、指定自訂開始和結束時間,或以特定時間戳記為中心設定時間範圍。舉例來說,如果您想查看過去一週的資料,請從時間範圍選擇器中選取「上週」

您也可以使用時間範圍選擇器設定時區偏好設定。

基本篩選器

您可以使用基本篩選器定義查詢的範圍。查詢結果只會顯示符合您所選篩選條件的流程。您可以選取下列篩選器:

  • 來源目的地 (如果「流量匯總」設為「來源 - 目的地」)
  • 用戶端伺服器 (如果流量匯總設為用戶端 - 伺服器)
  • 流程參數

您可以在每個「Filter」清單中新增多個篩選運算式。如果為同一個篩選器選取多個值,系統會使用 OR 運算子,如果選取多個篩選器,系統會使用 AND 運算子。

舉例來說,假設您選取兩個 IP 位址值 (10.10.0.1010.10.0.20),以及兩個 國家/地區值 (usafra),查詢會套用下列篩選邏輯:(IP=10.10.0.10 OR IP=10.10.0.20) AND (Country=usa OR Country=fra)

如要使用基本篩選器建構及執行查詢,請參閱「建構及執行查詢」。

SQL 篩選器

如要建構複雜的查詢,您可以使用 SQL 篩選器。您可以使用複雜查詢執行下列工作:

  1. 比較欄位值
  2. 使用 AND/OR 和巢狀 OR 運算式建構複雜的布林邏輯
  3. 使用 BigQuery 函式對 IP 位址執行複雜作業

SQL 篩選器查詢使用 BigQuery SQL 語法。詳情請參閱 BigQuery SQL 語法

如要查看篩選運算式語法和範例,請按一下「篩選運算式語法和示例」。

如要使用 SQL 篩選器建構及執行查詢,請參閱「建構並執行 SQL 查詢」一文。

查詢結果

查詢結果包含下列元件:

  • 最高資料流量圖表:顯示時間內流量最多的前五個流量,以及其他流量。您可以使用這張圖表找出流量激增等趨勢。
  • 「所有資料流量」表格:顯示在所選期間內,匯總的流量流量前 10,000 列。這個表格會顯示在定義查詢篩選條件時,用於安排流程的欄位。

顯示選項

執行查詢後,您可以使用各種顯示選項進一步細化結果。圖表和表格都會更新,以反映新選取的選項。如要選取自訂選項並執行查詢,請參閱「自訂顯示選項」。

指標類型

您可以選擇查看下列任一指標類型。

  • 傳送的位元組:包含酬載量大小的資訊,但不包含標頭。由於某些封包只包含標頭,不含任何酬載,因此這項指標值可能為零。

  • 已傳送的封包:表示從來源傳送至目的地的封包數。

對於這兩種指標類型,您可以選擇其他指標匯總。

指標匯總

您可以透過下列方式查看指標匯總資料。

如果您選取「傳送的位元組」做為指標,並選取「來源和目的地」做為流量匯總,則可使用下列選項:

  • 總流量:根據預設一律會啟用,並顯示所選時間範圍的總流量。
  • 平均流量率:顯示所選時間範圍的平均流量率 (以位元組/秒為單位),僅計算觀察到流量的對齊期間。詳情請參閱「對齊期間」。
  • 中位流量率:顯示所選時間範圍的中位流量率 (以位元組/秒為單位),僅計算觀察到流量的對齊期間。詳情請參閱「對齊期間」。
  • P95 流量率:顯示所選時間範圍內的 95 百分位流量率 (以每秒位元組為單位),僅計算觀察到流量的對齊期間。詳情請參閱「對齊期間」。
  • 最大流量傳輸速率:顯示所選時間範圍內,以每秒位元組為單位的最大流量傳輸速率。

如果您選取「傳送的封包」做為指標,並將「來源和目的地」做為流量匯總,則可使用下列選項:

  • 匯總封包:顯示所選時間範圍內傳送的封包數量。(預設為啟用)。
  • 平均封包率:顯示所選時間範圍的平均封包率,且只計算觀察到流量的對齊期間。詳情請參閱「對齊期間」。
  • 封包傳送速率中位數:顯示所選時間範圍的封包傳送速率中位數,僅計算觀察到流量的對齊期間。詳情請參閱「對齊期間」。
  • 第 95 百分位數的封包傳輸速率:顯示所選時間範圍的 95 個百分位數封包傳輸速率,僅計算觀察到流量的對齊期間。詳情請參閱「對齊期間」。
  • 封包傳送速率上限:顯示所選時間範圍的封包傳送速率上限。

校正週期

您可以選擇 5 秒到 1 天的時間範圍,用於圖表中的詳細資料。自動模式會依據所選時段長度,選用最合適的校正週期。

時間軸上的每個點都代表特定時間範圍內的匯總資料。這個期間的長度稱為校驗期

隨著對齊期間的值降低,成效也會隨之下降。對齊週期值越高,圖表就會越粗略。您可能無法查看短暫的尖峰值。

對於較長的時間長度,較短的對齊時間並無幫助。舉例來說,如果您選取 30 天的 1 分鐘對齊,Flow Analyzer 會產生超過 43,000 個資料點。因為這比 4K 螢幕像素多出 10 倍,因此您無法查看所有詳細資料,且部分選項會在長時間內停用。

如要進一步瞭解如何執行取樣作業,以及如何決定對齊期間以顯示查詢結果,請參閱「指標和對齊期間」。

取樣點

對於VM 對 VM 網路通訊,傳送和接收流量的 VM 都會提供流程記錄 (並套用取樣)。如果兩個端點 VM 都位於已啟用虛擬私有雲流量記錄的子網路,系統就會回報相同的流程兩次。您可以選擇下列四種方法之一,判斷哪些虛擬私有雲流量記錄會納入計算指標,以及如何評估這些指標:

  • 來源端點:在資料流的來源端點回報的傳送位元組數或封包數
  • 目的地端點:在資料流的目的地端點回報的傳送位元組數或封包數
  • 來源和目的地端點的總和:流量兩端點回報的傳送位元組或封包總和
  • 來源和目的地端點的平均值:如果 VPC 流程記錄中同時提供來源和目的地資訊,則流程兩端點傳送的位元組或封包的平均值

流量去重

為避免在來源和目標 VM 中回報的流量被計算兩次,您可以選擇「Average of source and destination endpoint」取樣選項。Flow Analyzer 會在每個對齊期間內找出等效的流量,並計算回報的指標值 (位元組計數和封包計數) 的平均值。

如果 SRC 和 DEST 都回報了等效流量,則系統會將特定對齊期間的所有流量除以 2。

查看流程詳細資料

在「所有資料流」表格中,按一下任一資料流的「詳細資料」。這時畫面上會顯示「流程詳細資料」面板。這個面板會提供來源、目的地、流量、細查選項和出口自主系統 (AS) 路徑等資訊。

細查檢視畫面

您可以使用額外欄位,將所選流量拆分為多個流量。舉例來說,如果流程中包含從 Google Cloud 區域 X 到區域 Y 的 1,000 GiB 流量相關的一般詳細資料,您可以使用其他欄位 (例如來源 IP 位址) 進行深入查看。結果包含組成原始流量的多個 IP 位址。

在細查元件中顯示的欄位會依下列方式選取:

  • 當您存取流程詳細資料時,Flow Analyzer 會執行多項查詢。每個查詢都會嘗試使用虛擬私有雲流量記錄檔中可用的欄位,並且尚未用於原始查詢,對所選流程進行深入查詢。舉例來說,如果執行的查詢已包含 IP 位址詳細資料,您就不需要再次使用這個欄位執行查詢,也無法使用這個欄位深入查看。
  • 如果任何額外查詢傳回單一欄位值,即使該值未在先前擷取,也會加入來源和目標詳細資料部分。
  • 如果任何查詢結果包含多個欄位值,則對應的欄位會顯示在細查清單中。

當您在下鑽清單中選取欄位時,下鑽表格和圖表會更新,顯示前三個流量流。

您也可以使用「與過去比較」切換按鈕。選取這項功能後,您會看到六條線:三條實線代表下鑽後的三個熱門談話者,而三條虛線則代表過去的流量,並以對應的顏色標示。

如要使用更多欄位深入分析流量流向,請參閱「深入分析流量流向」一文。

egress AS 路徑檢視畫面

在「Egress AS paths」分頁中,您可以查看輸出封包穿越的 AS 路徑,以便到達 Google Cloud網路以外的目的地。AS 路徑可包含多個自治系統編號 (ASN)。

您可以使用「流程參數」清單中的「Egress AS path」篩選器,控管「Egress AS paths」分頁中顯示的 AS 詳細資料。舉例來說,比較器欄位中的「長於」和「短於」選項可讓您指定每個 AS 路徑的 ASN 數量。如要查看包含特定 ASN 的 AS 路徑,您可以使用「has first ASN」或「contains ASN」選項。

Egress AS 路徑圖表中的邊緣會依流程記錄數量加權。在圖表的 AS 路徑中,邊緣代表包含邊緣連結的兩個 ASN 的流量記錄數量。系統會根據您在執行查詢時選取的 Egress AS 路徑 篩選器選項和時間範圍,變更在「Egress AS 路徑」圖表上顯示的資料。

在記錄檔分析中查看

您可以在 Log Analytics 中查看原始 SQL 查詢。

如要進行進階分析,您可以直接修改用於將流量視覺化的 SQL 程式碼。「在記錄檔分析中查看」功能會將您導向「記錄檔分析」頁面,並預先填入查詢。

後續步驟