Configurar os registros de fluxo de VPC
Nesta página, descrevemos como configurar os registros de fluxo de VPC. Ele pressupõe que você é conhecer os conceitos descritos em Registros de fluxo de VPC e Sobre os registros de fluxo de VPC.
Ativar VPC Flow Logs
Quando ativados, os registros funcionam em todas as VMs de uma sub-rede. No entanto, é possível reduzir a quantidade de informações gravadas na geração de registros. Para detalhes sobre os parâmetros que você pode controlar, consulte Amostragem e processamento de registros.
Para personalizar campos de metadados ou configurar a filtragem de registros, use o CLI ou API do Google Cloud.
Ativar registros de fluxo de VPC ao criar uma sub-rede
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique na rede em que você quer adicionar uma sub-rede.
Clique em Add subnet.
Em Registros de fluxo, selecione Ativado.
Para ajustar a amostragem e a agregação de registros, clique em Configurar registros e ajuste um dos itens a seguir:
- O intervalo de agregação
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Incluir metadados inclui todos os campos.
- A taxa de amostragem.
100%
significa que todas as entradas são mantidas.
Preencha outros campos conforme apropriado.
Clique em Adicionar.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Execute este comando:
gcloud compute networks subnets create SUBNET_NAME \ --enable-flow-logs \ [--logging-aggregation-interval=AGGREGATION_INTERVAL] \ [--logging-flow-sampling=SAMPLE_RATE] \ [--logging-filter-expr=FILTER_EXPRESSION] \ [--logging-metadata=LOGGING_METADATA] \ [--logging-metadata-fields=METADATA_FIELDS] \ [other flags as needed]
Substitua:
AGGREGATION_INTERVAL
: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.SAMPLE_RATE
: a taxa de amostragem de fluxo. A amostragem de fluxo pode ser definida de0.0
(sem amostragem) a1.0
(todos os registros). O padrão é0.5
.FILTER_EXPRESSION
: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.LOGGING_METADATA
: as anotações de metadados que você quer incluir nos registros:- Use
include-all
para incluir todas as anotações de metadados. - Use
exclude-all
para excluir todas as anotações de metadados (padrão). - Use
custom
para incluir uma lista personalizada de campos de metadados especificados emMETADATA_FIELDS
.
- Use
METADATA_FIELDS
: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo,src_instance,dst_instance
. Só pode ser definido seLOGGING_METADATA
estiver definido comocustom
.
API
Ative os registros de fluxo de VPC quando criar uma nova sub-rede.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks { "logConfig": { "aggregationInterval": "AGGREGATION_INTERVAL", "flowSampling": SAMPLING_RATE, "filterExpr": EXPRESSION, "metadata": METADATA_SETTING, "metadataFields": METADATA_FIELDS, "enable": true }, "ipCidrRange": "IP_RANGE", "network": "NETWORK_URL", "name": "SUBNET_NAME" }
Substitua:
PROJECT_ID
: o ID do projeto em que a sub-rede será criado.REGION
: a região em que a sub-rede será criada.AGGREGATION_INTERVAL
: o intervalo de agregação para registros de fluxo na sub-rede. O intervalo pode ser definido como qualquer um dos seguintes:INTERVAL_5_SEC
,INTERVAL_30_SEC
,INTERVAL_1_MIN
,INTERVAL_5_MIN
,INTERVAL_10_MIN
ouINTERVAL_15_MIN
.SAMPLING_RATE
: a taxa de amostragem de fluxo. A amostragem de fluxo pode ser definida de0.0
(sem amostragem) a1.0
(todos os registros). O padrão é.0.5
.EXPRESSION
: é a expressão de filtro usada para filtrar quais registros realmente serão gravados. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.METADATA_SETTING
: as anotações de metadados que você quer incluir nos registros:- Use
INCLUDE_ALL_METADATA
para incluir todas as anotações de metadados. - Use
EXCLUDE_ALL_METADATA
para excluir todas as anotações de metadados (padrão). - Use
custom
para incluir uma lista personalizada de campos de metadados especificados emMETADATA_FIELDS
.
- Use
METADATA_FIELDS
: os campos de metadados que você quer capturar depois de definirmetadata: CUSTOM_METADATA
. Esta é uma lista separada por vírgulas de campos de metadados, comosrc_instance, src_vpc.project_id
.IP_RANGE
: o intervalo de endereços IP principal da sub-rede.NETWORK_URL
: é o URL da rede VPC em que a sub-rede será criada.SUBNET_NAME
: um nome para a sub-rede.
Para mais informações, consulte o
método
subnetworks.insert
.
Terraform
Use um módulo do Terraform para criar uma rede VPC e sub-redes de modo personalizado.
O exemplo a seguir cria três sub-redes da seguinte maneira:
subnet-01
tem registros de fluxo de VPC desativados. Quando você cria uma sub-rede, os registros de fluxo de VPC são desativados, a menos que você os ative explicitamente.subnet-02
tem registros de fluxo de VPC ativados com as configurações padrão de registro de fluxo.subnet-03
tem registros de fluxo de VPC ativados com algumas configurações personalizadas.
Para saber como aplicar ou remover uma configuração do Terraform, consulte Comandos básicos do Terraform.
Ativar registros de fluxo de VPC para uma sub-rede atual
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique na sub-rede que você quer atualizar.
Clique em Editar.
Em Registros de fluxo, selecione Ativado.
Se você quiser ajustar a amostragem e a agregação de registros, clique em Configurar registros e ajuste um dos itens a seguir:
- O intervalo de agregação
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Incluir metadados inclui todos os campos.
- A taxa de amostragem.
100%
significa que todas as entradas são mantidas.
Clique em Salvar.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Execute este comando:
gcloud compute networks subnets update SUBNET_NAME \ --enable-flow-logs \ [--logging-aggregation-interval=AGGREGATION_INTERVAL] \ [--logging-flow-sampling=SAMPLE_RATE] \ [--logging-filter-expr=FILTER_EXPRESSION] \ [--logging-metadata=LOGGING_METADATA] \ [--logging-metadata-fields=METADATA_FIELDS] \ [other flags as needed]
Substitua:
AGGREGATION_INTERVAL
: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.SAMPLE_RATE
: a taxa de amostragem de fluxo. A amostragem de fluxo pode ser definida de0.0
(sem amostragem) a1.0
(todos os registros). O padrão é0.5
.FILTER_EXPRESSION
: uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.LOGGING_METADATA
: as anotações de metadados que você quer incluir nos registros:- Use
include-all
para incluir todas as anotações de metadados. - Use
exclude-all
para excluir todas as anotações de metadados (padrão). - Use
custom
para incluir uma lista personalizada de campos de metadados especificados emMETADATA_FIELDS
.
- Use
METADATA_FIELDS
: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo,src_instance,dst_instance
. Só pode ser definido seLOGGING_METADATA
estiver definido comocustom
.
API
Ative os registros de fluxo de VPC para uma sub-rede existente.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME { "logConfig": { "enable": true ...other logging fields. }, "fingerprint": "SUBNETWORK_FINGERPRINT" }
Substitua:
PROJECT_ID
: o ID do projeto em que a sub-rede está localizada.REGION
: a região em que a sub-rede está localizada.SUBNET_NAME
: o nome da sub-rede atual.SUBNET_FINGERPRINT
: o ID de impressão digital da sub-rede atual, que é fornecido quando você descreve uma sub-rede.- Para os outros campos de geração de registros, consulte Ativar os registros de fluxo de VPC quando você cria uma sub-rede.
Para mais informações, consulte o
método
subnetworks.patch
.
Como visualizar o volume de registro estimado para sub-redes atuais
O console do Google Cloud fornece uma estimativa do seu volume de registro para sub-redes atuais, que pode ser usada para cálculo do custo de ativação dos registros de fluxo. A estimativa é baseada em fluxos capturados em intervalos de 5 segundos para a sub-rede nos últimos 7 dias. Além disso, o tamanho de cada registro depende da ativação das anotações de metadados.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique na sub-rede para a qual queira estimar os custos.
Clique em Editar.
Em Registros de fluxo, selecione Ativado.
Clique em Configurar registros.
Visualize os Registros estimados gerados por dia para ver a estimativa.
Clique em Cancelar para que nenhuma das suas alterações seja salva.
Visualizar quais sub-redes têm registros de fluxo de VPC ativados
É possível verificar quais sub-redes de uma rede têm registros de fluxo de VPC ativados.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique na rede VPC em que você quer ver as sub-redes.
Clique na guia Sub-redes e visualize a coluna Registros de fluxo para ver se a geração de registros esteja ativada ou desativada.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Execute este comando:
gcloud compute networks subnets list \ --project PROJECT_ID \ --network="NETWORK" \ --format="csv(name,region,logConfig.enable)"
Substitua:
PROJECT_ID
é o ID do projeto que você está consultando.NETWORK
: o nome da rede que contém as sub-redes.
Atualizar os parâmetros dos registros de fluxo de VPC
É possível modificar os parâmetros de amostragem de registros. Consulte Amostragem e processamento de registos para ver detalhes sobre os parâmetros que você pode controlar.
Para personalizar campos de metadados ou configurar a filtragem de registros, use a CLI ou a API da gcloud.
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique na sub-rede que você quer atualizar.
Clique em Editar.
Se você quiser ajustar a amostragem e a agregação de registros, clique em Configurar registros e ajuste um dos itens a seguir:
- O intervalo de agregação
- Defina se os metadados serão incluídos nas entradas de registro finais. Por padrão, Incluir metadados inclui todos os campos.
- A taxa de amostragem.
100%
significa que todas as entradas são mantidas.
Clique em Salvar.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Execute este comando:
gcloud compute networks subnets update SUBNET_NAME \ [--logging-aggregation-interval=AGGREGATION_INTERVAL] \ [--logging-flow-sampling=SAMPLE_RATE] \ [--logging-filter-expr=FILTER_EXPRESSION] \ [--logging-metadata=LOGGING_METADATA] \ [--logging-metadata-fields=METADATA_FIELDS] \
Substitua:
AGGREGATION_INTERVAL
: o intervalo de agregação para registros de fluxo nessa sub-rede. O intervalo de tempo pode ser configurado para: 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.SAMPLE_RATE
: a taxa de amostragem de fluxo. A amostragem de fluxo pode ser definida de0.0
(sem amostragem) a1.0
(todos os registros). O padrão é0.5
.FILTER_EXPRESSION
: é uma expressão que define quais registros você quer manter. A expressão tem um limite de 2.048 caracteres. Para detalhes, consulte Filtragem de registros.LOGGING_METADATA
: as anotações de metadados que você quer incluir nos registros:- Use
include-all
para incluir todas as anotações de metadados. - Use
exclude-all
para excluir todas as anotações de metadados (padrão). - Use
custom
para incluir uma lista personalizada de campos de metadados especificados emMETADATA_FIELDS
.
- Use
METADATA_FIELDS
: uma lista separada por vírgulas de campos de metadados que você quer incluir nos registros. Por exemplo,src_instance,dst_instance
. Só pode ser definido seLOGGING_METADATA
estiver definido comocustom
.
API
Modifique os campos da amostragem de registros para atualizar os comportamentos dos registros de fluxo de VPC.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME { "logConfig": { ...fields to modify }, "fingerprint": "SUBNETWORK_FINGERPRINT" }
Substitua:
PROJECT_ID
: o ID do projeto em que a sub-rede está localizada.REGION
: a região em que a sub-rede está localizada.SUBNET_NAME
: o nome da sub-rede atual.SUBNET_FINGERPRINT
: o ID de impressão digital da sub-rede atual, que é fornecido quando você descreve uma sub-rede.- Para os campos que podem ser modificados, consulte Ativar os registros de fluxo de VPC quando você cria uma sub-rede.
Para mais informações, consulte o
método
subnetworks.patch
.
Desativar registros de fluxo de VPC para uma sub-rede
Console
No Console do Google Cloud, acesse a página Redes VPC.
Clique na sub-rede que você quer atualizar.
Clique em Editar.
Em Registros de fluxo, selecione Desativado.
Clique em Salvar.
gcloud
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Execute este comando:
gcloud compute networks subnets update SUBNET_NAME \ --no-enable-flow-logs
API
Desative registros de fluxo de VPC em uma sub-rede para interromper a coleta de registros.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/subnetworks/SUBNET_NAME { "logConfig": { "enable": false }, "fingerprint": "SUBNETWORK_FINGERPRINT" }
Substitua:
PROJECT_ID
: o ID do projeto em que a sub-rede está localizada.REGION
: a região em que a sub-rede está localizada.SUBNET_NAME
: o nome da sub-rede atual.SUBNET_FINGERPRINT
: o ID de impressão digital da sub-rede atual, que é fornecido quando você descreve uma sub-rede.
Para mais informações, consulte o
método
subnetworks.patch
.
Solução de problemas
Os registros de fluxo parecem estar desativados, ainda que tenham sido ativados
Ao configurar uma sub-rede somente proxy para balanceadores de carga de aplicativo internos e usar o comando
gcloud compute networks subnets
para ativar os registros de fluxo de VPC, o comando parece ter êxito, mas os registros de fluxo não estão realmente ativados. A sinalização--enable-flow-logs
não entra em vigor quando a sinalização--purpose=INTERNAL_HTTPS_LOAD_BALANCER
também é incluída.Ao usar o console do Google Cloud ou a API para ativar os registros de fluxo, será exibida a seguinte mensagem de erro: "Valor inválido para o campo 'resource.enableFlowLogs': 'true'. Campo inválido definido na sub-rede com a finalidade INTERNAL_HTTPS_pload_ balanCER."
Como as sub-redes somente proxy não têm VMs, os registros de fluxo de VPC não são compatíveis. Este é o comportamento esperado.