Log di flusso VPC

I log di flusso VPC registrano un campione di pacchetti inviati e ricevuti dalle istanze di macchine virtuali (VM), incluse quelle utilizzate come nodi Google Kubernetes Engine, nonché di pacchetti inviati tramite i collegamenti VLAN per Cloud Interconnect e i tunnel Cloud VPN (anteprima).

I log dei flussi vengono aggregati per connessione IP (5 tuple). Questi log possono essere utilizzati per monitoraggio della rete, analisi forense, analisi della sicurezza e ottimizzazione delle spese.

Puoi visualizzare i log dei flussi in Cloud Logging ed esportarli in qualsiasi destinazione supportata dalle funzionalità di esportazione di Cloud Logging.

Casi d'uso

Monitoraggio della rete

I log di flusso VPC ti offrono visibilità sul throughput e sulle prestazioni della rete. Puoi:

  • Monitora la rete VPC
  • Esegui la diagnostica di rete
  • Filtra i log di flusso in base a VM, collegamenti VLAN e tunnel Cloud VPN per comprendere le variazioni del traffico
  • Informazioni sulla crescita del traffico per la previsione della capacità

Informazioni sull'utilizzo della rete e ottimizzazione delle spese legate al traffico di rete

Puoi analizzare l'utilizzo della rete con i log di flusso VPC per ottimizzare le spese relative al traffico di rete. Ad esempio, puoi analizzare i flussi di rete per:

  • Traffico tra regioni e zone
  • Traffico verso paesi specifici su internet
  • Traffico verso reti on-premise e di altri cloud
  • Principali utenti della rete, tra cui VM, collegamenti VLAN e tunnel Cloud VPN

Informatica forense di rete

Puoi utilizzare i log di flusso VPC per l'analisi forense della rete. Ad esempio, se si verifica un incidente, puoi esaminare quanto segue:

  • Quali IP hanno comunicato con chi e quando
  • Eventuali IP compromessi analizzando tutti i flussi di rete in entrata e in uscita

Specifiche

  • I log di flusso VPC fanno parte di Andromeda, il software che gestisce le reti VPC. I log di flusso VPC non introducono ritardi o penalizzazioni delle prestazioni se abilitati.
  • I log di flusso VPC funzionano con le reti VPC, non con le reti legacy. Puoi attivare o disattivare i log di flusso VPC per subnet, collegamento VLAN per Cloud Interconnect (anteprima) o tunnel Cloud VPN (anteprima). Se abilitati per una subnet, i log di flusso VPC raccolgono i dati da tutte le istanze VM, inclusi i nodi GKE, in quella subnet.
  • I log di flusso VPC campionano i flussi TCP, UDP, ICMP, ESP e GRE. Vengono campionati sia i flussi in entrata che quelli in uscita. Questi flussi possono essere all'interno di Google Cloud o tra Google Cloud e altre reti. Se un flusso viene acquisito tramite campionamento, i log di flusso VPC generano un log per il flusso. Ogni record del flusso include le informazioni descritte nella sezione Formato record.
  • I log di flusso VPC interagiscono con le regole firewall nei seguenti modi:
    • I pacchetti in uscita vengono campionati prima delle regole firewall in uscita. Anche se una regola del firewall in uscita nega i pacchetti in uscita, questi pacchetti possono essere campionati dai log di flusso VPC.
    • I pacchetti in entrata vengono campionati dopo le regole firewall in entrata. Se una regola firewall in entrata nega i pacchetti in entrata, questi pacchetti non vengono campionati dai log di flusso VPC.
  • Puoi utilizzare i filtri nei log di flusso VPC per generare solo determinati log.
  • I log di flusso VPC supportano le VM con più interfacce di rete. Devi abilitare i log di flusso VPC per ogni subnet, in ogni VPC, che contiene un'interfaccia di rete.
  • Per registrare i flussi tra i pod sullo stesso nodo Google Kubernetes Engine (GKE), devi attivare la visibilità intranodo per il cluster.
  • I log di flusso VPC non vengono registrati dalle risorse Cloud Run.

Raccolta di log

I pacchetti vengono campionati in un intervallo di aggregazione. Tutti i pacchetti raccolti per una determinata connessione IP nell'intervallo di aggregazione vengono aggregati in un'unica voce del log di flusso. Questi dati vengono poi inviati a Logging.

Per impostazione predefinita, i log vengono archiviati in Logging per 30 giorni. Se vuoi conservare i log per più tempo, puoi impostare un periodo di conservazione personalizzato o esportarli in una destinazione supportata.

Campionamento ed elaborazione dei log

Per generare log di flusso, i log di flusso VPC campionano i pacchetti che entrano ed escono da una VM o passano attraverso un gateway, ad esempio un collegamento VLAN o un tunnel Cloud VPN. Dopo che i log di flusso sono stati generati, VPC Flow Logs li elabora seguendo la procedura descritta in questa sezione.

I log di flusso VPC campionano i pacchetti utilizzando una frequenza di campionamento principale. La frequenza di campionamento principale è dinamica e varia in base al carico dell'host fisico su cui è in esecuzione la VM o il gateway al momento del campionamento. La probabilità di campionare una singola connessione IP aumenta con il volume dei pacchetti. Non puoi controllare il processo di campionamento dei log di flusso principale o regolare la frequenza di campionamento principale.

Dopo la generazione, i log di flusso vengono elaborati da VPC Flow Logs secondo la seguente procedura:

  1. Filtro: puoi specificare che vengano generati solo i log che corrispondono ai criteri specificati. Ad esempio, puoi filtrare in modo da generare solo i log per una determinata VM o solo i log con un determinato valore dei metadati e ignorare il resto. Per ulteriori informazioni, consulta Filtro dei log.
  2. Aggregazione: le informazioni relative ai pacchetti campionati vengono aggregate in un intervallo di aggregazione configurabile per produrre una voce del log di flusso.
  3. Campionamento secondario dei log di flusso: si tratta di un secondo processo di campionamento. Le voci dei log di flusso vengono campionate ulteriormente in base a un parametro di frequenza di campionamento secondaria configurabile. Il campionamento secondario viene eseguito sui log di flusso generati dal processo di campionamento primario dei log di flusso. Ad esempio, se la frequenza di campionamento secondaria è impostata su 1, 0 o 100%, i log di flusso VPC campionano il 100% dei log di flusso generati dal campionamento primario dei log di flusso.
  4. Metadati: se questa opzione è disattivata, tutte le annotazioni dei metadati vengono ignorate. Se vuoi conservare i metadati, puoi specificare che tutti i campi o un insieme specifico di campi vengano conservati. Per ulteriori informazioni, consulta la sezione Annotazioni metadati.
  5. Scrive in Logging: le voci di log finali vengono scritte in Cloud Logging.

Poiché i log di flusso VPC non acquisiscono tutti i pacchetti, compensano i pacchetti mancanti mediante l'interpolazione dei pacchetti acquisiti. Questo accade per i pacchetti persi a causa delle impostazioni di campionamento iniziali e configurabili dall'utente.

Anche se Google Cloud non acquisisce tutti i pacchetti, le acquisizioni dei record di log possono essere piuttosto grandi. Puoi bilanciare le esigenze di visibilità del traffico e costi di archiviazione modificando i seguenti aspetti della raccolta dei log:

  • Intervallo di aggregazione: i pacchetti campionati per un intervallo di tempo vengono aggregati in un'unica voce di log. Questo intervallo di tempo può essere 5 secondi (impostazione predefinita), 30 secondi, 1 minuto, 5 minuti, 10 minuti o 15 minuti.
  • Frequenza di campionamento secondaria:
    • Per le VM, per impostazione predefinita viene conservato il 50% delle voci di log. Puoi impostare questo parametro da 1.0 (100%, vengono mantenute tutte le voci di log) a 0.0 (0%, non viene mantenuto nessun log).
    • Per i collegamenti VLAN e i tunnel Cloud VPN, viene conservato il 100% delle voci di log per impostazione predefinita. Puoi impostare questo parametro da 1.0 a un valore maggiore di 0.0.
  • Annotazioni sui metadati: per impostazione predefinita, le voci di log di flusso vengono annotate con informazioni sui metadati, ad esempio i nomi dell'origine e della destinazione in Google Cloud o la regione geografica delle origini e delle destinazioni esterne. Per risparmiare spazio di archiviazione, puoi disattivare le annotazioni sui metadati o specificarne solo alcune.
  • Filtro: per impostazione predefinita, i log vengono generati per ogni flusso campionato. Puoi impostare i filtri in modo che vengano generati solo i log che corrispondono a determinati criteri.

Prezzi

Si applicano prezzi standard per Logging, BigQuery o Pub/Sub. I prezzi dei log di flusso VPC sono descritti nella sezione relativa ai prezzi di Network Telemetry.

Passaggi successivi