Registros de flujo de VPC

Registros de flujo de VPC toma muestras de paquetes de tu red de nube privada virtual (VPC) para generar registros de flujo. Los registros de flujo se agregan por conexión IP (5 tuplas). VPC Flow Logs toma muestras de los siguientes paquetes:

• Paquetes enviados y recibidos por instancias de máquina virtual (VM), incluidas las instancias utilizadas como nodos de Google Kubernetes Engine
• Paquetes enviados a través de vinculaciones de VLAN para túneles de Cloud Interconnect y Cloud VPN

Puedes ver los registros de flujo en Cloud Logging y exportarlos a cualquier destino compatible con la exportación de Cloud Logging. Estos registros se pueden usar para monitorizar la red, realizar análisis forenses, hacer análisis de seguridad y optimizar el gasto.

Para obtener más información, consulta Configuraciones admitidas.

Casos prácticos

A continuación, se indican algunos casos prácticos de los registros de flujo de VPC.

Monitorización de red

Los registros de flujo de VPC te permiten ver el rendimiento y el tráfico de red. Puedes hacer lo siguiente:

• Monitorizar la red VPC
• Realizar un diagnóstico de red
• Filtra los registros de flujo por máquinas virtuales, adjuntos de VLAN y túneles de Cloud VPN para comprender los cambios en el tráfico
• Conocer el crecimiento del tráfico para hacer previsiones de capacidad

Conocer el uso de la red y optimizar los gastos de tráfico de red

Puedes analizar el uso de la red con los registros de flujo de VPCs para optimizar los gastos del tráfico de red. Por ejemplo, puedes analizar los flujos de red de lo siguiente:

• Tráfico entre regiones y zonas
• Tráfico a países específicos en Internet
• Tráfico a redes on-premise y a otras redes de nube
• Los principales emisores de la red, incluidas las máquinas virtuales, las vinculaciones de VLAN y los túneles de Cloud VPN

Análisis forense de redes

Puedes usar los registros de flujo de VPC para realizar análisis forenses de la red. Por ejemplo, si se produce un incidente, puede examinar lo siguiente:

• Qué IPs han hablado con quién y cuándo
• Las IPs vulneradas analizando todos los flujos de red entrantes y salientes

Configuraciones admitidas

Puede habilitar los registros de flujo de VPC a nivel de organización y de proyecto. Una configuración de registros de flujo de VPC a nivel de organización habilita los registros de flujo de todas las subredes, las vinculaciones de VLAN y los túneles de Cloud VPN de todas las redes de VPC de la organización.

A nivel de proyecto, puede habilitar los registros de flujo de VPC para redes de VPC, subredes, vinculaciones de VLAN y túneles de Cloud VPN específicos.

Ámbito de configuración	Genera registros de flujo para estos recursos	Pasos para habilitar
Organización	Todas las instancias de VM de todas las subredes de la organización Todas las vinculaciones de VLAN de la organización Todos los túneles de Cloud VPN de la organización	Habilitar los registros de flujo de VPC de una organización (versión preliminar)
Red VPC	Todas las instancias de VM de todas las subredes de la red de VPC Todas las vinculaciones de VLAN de la red de VPC Todos los túneles de Cloud VPN de la red de VPC	Habilitar los registros de flujo de VPC en una red de VPC (versión preliminar)
Subred	Todas las instancias de VM de una subred específica	Para habilitar los registros de flujo de VPC de una subred, sigue estos pasos: Habilitar los registros de flujo de VPC para una subred (API de Compute Engine) Habilitar los registros de flujo de VPC en una subred (API Network Management) (vista previa)
Vinculación de VLAN	Una vinculación de VLAN específica	Habilitar los registros de flujo de VPC para una vinculación de VLAN
Túnel VPN de Cloud	Un túnel de Cloud VPN específico	Habilitar los registros de flujo de VPC para un túnel de Cloud VPN

Puede usar filtros para personalizar estos ámbitos de configuración. Para obtener más información, consulta Muestreo y procesamiento de registros.

Recopilación de registros

Los paquetes se muestrean en un intervalo de agregación. Todos los paquetes recogidos para una conexión IP determinada dentro del intervalo de agregación se agregan en una sola entrada de registro de flujo. Estos datos se envían a Logging en el Google Cloud proyecto de la red de VPC que ha informado del flujo.

Los registros se almacenan en Logging durante 30 días de forma predeterminada. Si quieres conservar los registros durante más tiempo, puedes definir un periodo de conservación personalizado o exportarlos a un destino compatible.

Muestreo y procesamiento de registros

Para generar registros de flujo, Registros de flujo de VPC toma muestras de los paquetes que salen y entran en una VM o que pasan por una pasarela, como una vinculación de VLAN o un túnel de Cloud VPN. Una vez que se generan los registros de flujo, VPC Flow Logs los procesa siguiendo el procedimiento descrito en esta sección.

Registros de flujo de VPC toma muestras de paquetes con una frecuencia de muestreo principal. La frecuencia de muestreo principal es dinámica y varía en función de la carga del host físico que ejecuta la máquina virtual o la pasarela en el momento del muestreo. La probabilidad de muestrear cualquier conexión IP aumenta con el volumen de paquetes. No puedes controlar el proceso de muestreo de los registros de flujo principales ni ajustar la tasa de muestreo principal.

Una vez que se generan los registros de flujo, VPC Flow Logs los procesa según el siguiente procedimiento:

1. Filtrar Puedes especificar que solo se generen los registros que cumplan los criterios que indiques. Por ejemplo, puede filtrar para que solo se generen los registros de una máquina virtual concreta o los registros con un valor de metadatos concreto, y se descarten los demás. Para obtener más información, consulta Filtrado de registros.
2. Agregación. La información de los paquetes muestreados se agrega durante un intervalo de agregación configurable para generar una entrada de registro de flujo.
3. Muestreo de registros de flujo secundario. Este es un segundo proceso de muestreo. Las entradas de registro de flujo se muestrean aún más según un parámetro de frecuencia de muestreo secundaria configurable. El muestreo secundario se realiza en los registros de flujo generados por el proceso de muestreo de registros de flujo principal. Por ejemplo, si la frecuencia de muestreo secundaria es 1.0 (100 %), los registros de flujo de VPC muestrean el 100% de los registros de flujo generados por el muestreo de registros de flujo principal.
4. Metadatos. Si se inhabilita, se descartarán todas las anotaciones de metadatos. Si quieres conservar los metadatos, puedes especificar que se conserven todos los campos o un conjunto de campos concreto. Para obtener más información, consulta Anotaciones de metadatos.
5. Escribe en Logging. Las entradas de registro finales se escriben en Cloud Logging.

Como los registros de flujo de VPC no capturan todos los paquetes, compensan los paquetes perdidos interpolando los paquetes capturados. Esto ocurre con los paquetes que se pierden debido a la configuración de muestreo inicial y a la que puede configurar el usuario.

Aunque Google Cloud no captura todos los paquetes, los registros de log pueden ser bastante grandes. Puede equilibrar sus necesidades de visibilidad del tráfico y de costes de almacenamiento ajustando los siguientes aspectos de la recogida de registros:

• Intervalo de agregación. Los paquetes muestreados de un intervalo de tiempo se agregan en una sola entrada de registro. Este intervalo de tiempo puede ser de 5 segundos (valor predeterminado), 30 segundos, 1 minuto, 5 minutos, 10 minutos o 15 minutos.
• Frecuencia de muestreo secundaria.
  • En las configuraciones creadas con la API Compute Engine, se conserva el 50% de las entradas de registro de forma predeterminada. Puedes definir este parámetro entre 1.0 (100%, se conservan todas las entradas de registro) y 0.0 (0%, no se conserva ningún registro).
  • En el caso de las configuraciones creadas con la API Network Management, se conserva el 100% de las entradas de registro de forma predeterminada. Puede definir este parámetro de 1.0 a un valor superior a 0.0.
• Anotaciones de metadatos. De forma predeterminada, las entradas de registro de flujo se anotan con información de metadatos, como los nombres de la fuente y el destino dentro de Google Cloud o la región geográfica de las fuentes y los destinos externos. Las anotaciones de metadatos se pueden desactivar o puedes especificar solo algunas para ahorrar espacio de almacenamiento.
• Filtrar De forma predeterminada, se generan registros de cada flujo muestreado. Puede definir filtros para que solo se generen los registros que cumplan determinados criterios.

Especificaciones

• Los registros de flujo de VPC no introducen ningún retraso ni penalización en el rendimiento cuando están habilitados.
• Los registros de flujo de VPC funcionan con redes de VPC, no con redes antiguas.
• Registros de flujo de VPC ejemplos de flujos TCP, UDP, ICMP, ESP, GRE y RDMA:
  • Se toman muestras de los flujos entrantes y salientes. En el caso de RDMA sobre Ethernet convergente (RoCE), solo se muestrean los flujos salientes.
  • Los flujos pueden estar dentro de una red Google Cloud o entre Google Cloud y otras redes.
  • Si se captura un flujo mediante muestreo, Registros de flujo de VPC genera un registro para ese flujo. Cada registro de flujo incluye la información descrita en la sección Formato de registro.
• Los registros de flujo de VPC interactúan con las reglas de cortafuegos de las siguientes formas:
  • Los paquetes de salida se muestrean antes de las reglas de cortafuegos de salida. Aunque una regla de cortafuegos de salida deniegue los paquetes salientes, los registros de flujo de VPC pueden tomar muestras de esos paquetes.
  • Los paquetes de entrada se muestrean después de las reglas de cortafuegos de entrada. Si una regla de cortafuegos de entrada deniega los paquetes entrantes, los registros de flujo de VPC no muestrean esos paquetes.
• Puede usar filtros en los registros de flujo de VPC para generar solo determinados registros.
• Registros de flujo de VPC admite VMs que tienen varias interfaces de red. Debes habilitar los registros de flujo de VPC en cada subred de cada VPC que contenga una interfaz de red.
• Para registrar los flujos entre pods en el mismo nodo de Google Kubernetes Engine (GKE), debes habilitar la visibilidad entre nodos en el clúster.
• Los registros de flujo de VPC no se admiten en los recursos de Cloud Run.
• Registros de flujo de VPC no se admite en subredes con el valor INTERNAL_HTTPS_LOAD_BALANCER en el campo "Finalidad", ya que estas subredes se usan como subredes solo de proxy y no tienen instancias de VM.
• Registros de flujo de VPC escribe los registros en el proyecto de la red de VPC que genera los informes. En el caso de los recursos de las redes de VPC compartida, los registros se notifican en el proyecto host.

Precios y facturación

Se aplicarán los precios estándar de Logging, BigQuery o Pub/Sub. Consulta los precios de los registros de flujo de VPC en la sección de precios de la telemetría de red.

Los cargos de los registros de flujo de VPC se facturan al Google Cloud proyecto del recurso que informa de los registros de flujo. Si los registros de flujo de VPC están habilitados en una organización, cada proyecto se factura por separado.

Siguientes pasos

• Para obtener más información sobre el formato de los registros de flujo de VPC y las anotaciones de metadatos disponibles, consulta el artículo Acerca de los registros de flujo de VPC.
• Para ver ejemplos de registros de flujo de VPCs que se recogen para distintos casos prácticos, consulta Información sobre los flujos de tráfico.
• Para empezar a registrar flujos de una subred, consulta el artículo Configurar registros de flujo de VPC.