Log di flusso VPC

I log di flusso VPC campionano i pacchetti nella rete VPC (Virtual Private Cloud) per generare log di flusso. I log di flusso vengono aggregati per connessione IP (5 tuple). I log di flusso VPC campionano i seguenti pacchetti:

Puoi visualizzare i log di flusso in Cloud Logging ed esportarli in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging. Questi log possono essere utilizzati per monitoraggio della rete, analisi forense, analisi della sicurezza e ottimizzazione delle spese.

Per ulteriori informazioni, vedi Configurazioni supportate.

Casi d'uso

Di seguito sono riportati alcuni casi d'uso per i log di flusso VPC.

Monitoraggio rete

I log di flusso VPC forniscono visibilità sul throughput e sulle prestazioni della rete. Puoi:

  • Monitorare la rete VPC
  • Eseguire la diagnostica di rete
  • Filtra i log di flusso per VM, collegamenti VLAN e tunnel Cloud VPN per comprendere le modifiche al traffico
  • Comprendere la crescita del traffico per la previsione della capacità

Comprendere l'utilizzo della rete e ottimizzare le spese legate al traffico di rete

Puoi analizzare l'utilizzo della rete con i log di flusso VPC per ottimizzare le spese per il traffico di rete. Ad esempio, puoi analizzare i flussi di rete per quanto segue:

  • Traffico tra regioni e zone
  • Traffico verso paesi specifici su internet
  • Traffico verso on-premise e altre reti cloud
  • I nodi che generano più traffico nella rete, incluse VM, collegamenti VLAN e tunnel Cloud VPN

Network Forensics

Puoi utilizzare i log di flusso VPC per l'analisi forense della rete. Ad esempio, se si verifica un incidente, puoi esaminare quanto segue:

  • Quali IP hanno comunicato con chi e quando
  • Tutti gli IP compromessi analizzando tutti i flussi di rete in entrata e in uscita

Configurazioni supportate

Puoi abilitare i log di flusso VPC a livello di organizzazione e progetto. Una configurazione dei log di flusso VPC a livello di organizzazione abilita i log di flusso per tutte le subnet, i collegamenti VLAN e i tunnel Cloud VPN in tutte le reti VPC dell'organizzazione.

A livello di progetto, puoi abilitare i log di flusso VPC per reti VPC, subnet, collegamenti VLAN e tunnel Cloud VPN specifici.

Ambito di configurazione Genera i log di flusso per queste risorse Passaggi per l'attivazione
Organizzazione
  • Tutte le istanze VM in tutte le subnet dell'organizzazione
  • Tutti i collegamenti VLAN nell'organizzazione
  • Tutti i tunnel Cloud VPN nell'organizzazione
 Abilita i log di flusso VPC per un'organizzazione (anteprima)
Rete VPC
  • Tutte le istanze VM in tutte le subnet della rete VPC
  • Tutti i collegamenti VLAN nella rete VPC
  • Tutti i tunnel Cloud VPN nella rete VPC
 Attiva i log di flusso VPC per una rete VPC (anteprima)
Subnet Tutte le istanze VM in una subnet specifica

Per abilitare i log di flusso VPC per una subnet:
Collegamento VLAN Un collegamento VLAN specifico Abilita i log di flusso VPC per un collegamento VLAN
Tunnel Cloud VPN Un tunnel Cloud VPN specifico Abilita i log di flusso VPC per un tunnel Cloud VPN

Puoi utilizzare il filtro per personalizzare questi ambiti di configurazione. Per saperne di più, consulta Campionamento ed elaborazione dei log.

Raccolta di log

I pacchetti vengono campionati all'interno di un intervallo di aggregazione. Tutti i pacchetti raccolti per una determinata connessione IP all'interno dell'intervallo di aggregazione vengono aggregati in un'unica voce di log di flusso. Questi dati vengono poi inviati a Logging nel progetto Google Cloud della rete VPC che ha segnalato il flusso.

Per impostazione predefinita, i log vengono archiviati in Logging per 30 giorni. Se vuoi conservare i log più a lungo, puoi impostare un periodo di conservazione personalizzato o esportarli in una destinazione supportata.

Campionamento ed elaborazione dei log

Per generare log di flusso, i log di flusso VPC campionano i pacchetti che escono ed entrano in una VM o passano attraverso un gateway, ad esempio un collegamento VLAN o un tunnel Cloud VPN. Una volta generati i log di flusso, VPC Flow Logs li elabora seguendo la procedura descritta in questa sezione.

I log di flusso VPC campionano i pacchetti utilizzando una frequenza di campionamento primaria. La frequenza di campionamento principale è dinamica e varia in base al carico dell'host fisico che esegue la VM o il gateway al momento del campionamento. La probabilità di campionare una singola connessione IP aumenta con il volume di pacchetti. Non puoi controllare il processo di campionamento primario dei log di flusso o regolare la frequenza di campionamento primaria.

Una volta generati i log di flusso, i log di flusso VPC li elaborano secondo la seguente procedura:

  1. Filtri. Puoi specificare che vengano generati solo i log che corrispondono a criteri specifici. Ad esempio, puoi filtrare in modo che vengano generati solo i log per una determinata VM o solo i log con un determinato valore di metadati e il resto venga eliminato. Per ulteriori informazioni, vedi Filtro dei log.
  2. Aggregazione. Le informazioni relative ai pacchetti campionati vengono aggregate in un intervallo di aggregazione configurabile per produrre una voce di log di flusso.
  3. Campionamento secondario dei log di flusso. Si tratta di un secondo processo di campionamento. Le voci dei log di flusso vengono ulteriormente campionate in base a un parametro frequenza di campionamento secondaria configurabile. Il campionamento secondario viene eseguito sui log di flusso generati dal processo di campionamento primario dei log di flusso. Ad esempio, se la frequenza di campionamento secondaria è impostata su 1, 0 o 100%, i log di flusso VPC campionano il 100% dei log di flusso generati dal campionamento primario del log di flusso.
  4. Metadati. Se è disabilitata, tutte le annotazioni dei metadati vengono eliminate. Se vuoi conservare i metadati, puoi specificare che tutti i campi o un insieme specifico di campi vengano conservati. Per ulteriori informazioni, vedi Annotazioni dei metadati.
  5. Scrivi a Logging. Le voci di log finali vengono scritte in Cloud Logging.

Poiché i log di flusso VPC non acquisiscono tutti i pacchetti, compensano i pacchetti mancanti interpolando i pacchetti acquisiti. Ciò accade per i pacchetti persi a causa delle impostazioni di campionamento iniziali e configurabili dall'utente.

Anche se Google Cloud non acquisisce tutti i pacchetti, le acquisizioni nel record di log possono essere piuttosto grandi. Puoi bilanciare le esigenze di visibilità del traffico e costi di archiviazione modificando i seguenti aspetti della raccolta dei log:

  • Intervallo di aggregazione. I pacchetti campionati per un intervallo di tempo vengono aggregati in un'unica voce di log. Questo intervallo di tempo può essere 5 secondi (impostazione predefinita), 30 secondi, 1 minuto, 5 minuti, 10 minuti o 15 minuti.
  • Frequenza di campionamento secondaria.
    • Per le configurazioni create con l'API Compute Engine, per impostazione predefinita viene conservato il 50% delle voci di log. Puoi impostare questo parametro da 1.0 (100%, vengono mantenute tutte le voci di log) a 0.0 (0%, non viene mantenuto nessun log).
    • Per le configurazioni create con l'API Network Management, per impostazione predefinita viene conservato il 100% delle voci di log. Puoi impostare questo parametro da 1.0 a un valore superiore a 0.0.
  • Annotazioni dei metadati. Per impostazione predefinita, le voci di log di flusso vengono annotate con informazioni sui metadati, ad esempio i nomi dell'origine e della destinazione all'interno di Google Cloud o la regione geografica delle origini e delle destinazioni esterne. Le annotazioni dei metadati possono essere disattivate oppure puoi specificare solo determinate annotazioni per risparmiare spazio di archiviazione.
  • Filtri. Per impostazione predefinita, i log vengono generati per ogni flusso campionato. Puoi impostare filtri in modo che vengano generati solo i log che corrispondono a determinati criteri.

Specifiche

  • I log di flusso VPC non introducono ritardi o penalità di rendimento quando sono abilitati.
  • I log di flusso VPC funzionano con le reti VPC, non con le reti legacy.
  • I log di flusso VPC campionano i flussi TCP, UDP, ICMP, ESP, GRE e RDMA:
    • Vengono campionati sia i flussi in entrata che in uscita. Per RDMA su Converged Ethernet (RoCE), vengono campionati solo i flussi in uscita.
    • I flussi possono essere all'interno di Google Cloud o tra Google Cloud e altre reti.
    • Se un flusso viene acquisito dal campionamento, i log di flusso VPC generano un log per il flusso. Ogni record di flusso include le informazioni descritte nella sezione Formato del record.
  • VPC Flow Logs interagisce con le regole firewall nei seguenti modi:
    • I pacchetti in uscita vengono campionati prima delle regole firewall in uscita. Anche se una regola firewall in uscita nega i pacchetti in uscita, questi pacchetti possono essere campionati dai log di flusso VPC.
    • I pacchetti in entrata vengono campionati dopo le regole firewall in entrata. Se una regola firewall in entrata nega i pacchetti in entrata, questi pacchetti non vengono campionati dai log di flusso VPC.
  • Puoi utilizzare i filtri nei log di flusso VPC per generare solo determinati log.
  • I log di flusso VPC supportano le VM con più interfacce di rete. Devi abilitare i log di flusso VPC per ogni subnet, in ogni VPC, che contiene un'interfaccia di rete.
  • Per registrare i flussi tra i pod sullo stesso nodo Google Kubernetes Engine (GKE), devi attivare la visibilità intranodo per il cluster.
  • I log di flusso VPC non sono supportati per le risorse Cloud Run.
  • I log di flusso VPC non sono supportati per le subnet con scopo INTERNAL_HTTPS_LOAD_BALANCER perché queste subnet vengono utilizzate come subnet solo proxy e non hanno istanze VM.
  • I log di flusso VPC scrivono i log nel progetto della rete VPC di reporting. Per le risorse nelle reti VPC condiviso, i log vengono segnalati nel progetto host.

Prezzi e fatturazione

Si applicano prezzi standard per Logging, BigQuery o Pub/Sub. I prezzi dei log di flusso VPC sono descritti nella sezione relativa ai prezzi di Network Telemetry.

I costi dei log di flusso VPC vengono addebitati al progetto Google Cloud della risorsa che segnala i log di flusso. Se i log di flusso VPC sono abilitati per un'organizzazione, ogni progetto viene fatturato separatamente.

Passaggi successivi