VPC Flow Logs

Os registos de fluxo de VPC fazem a amostragem de pacotes na sua rede da nuvem virtual privada (VPC) para gerar registos de fluxo. Os registos de fluxo são agregados por ligação IP (5 tuplos). Os registos de fluxo de VPC fazem a amostragem dos seguintes pacotes:

• Pacotes enviados e recebidos por instâncias de máquinas virtuais (VMs), incluindo instâncias usadas como nós do Google Kubernetes Engine
• Pacotes enviados através de anexos de VLAN para túneis do Cloud Interconnect e do Cloud VPN

Pode ver os registos de fluxo no Cloud Logging e pode exportar registos para qualquer destino suportado pela exportação do Cloud Logging. Estes registos podem ser usados para monitorização de rede, análise forense, análise de segurança e otimização de despesas.

Para mais informações, consulte o artigo Configurações suportadas.

Exemplos de utilização

Seguem-se exemplos de utilização dos registos de fluxo da VPC.

Monitorização da rede

Os registos de fluxo de VPC oferecem visibilidade do débito e do desempenho da rede. Pode:

• Monitorize a rede VPC
• Faça um diagnóstico de rede
• Filtre os registos de fluxo por VMs, anexos de VLAN e túneis de VPN na nuvem para compreender as alterações de tráfego
• Compreenda o crescimento do tráfego para a previsão da capacidade

Compreender a utilização da rede e otimizar as despesas de tráfego de rede

Pode analisar a utilização da rede com os registos de fluxo de VPC para otimizar as despesas de tráfego de rede. Por exemplo, pode analisar os fluxos de rede para o seguinte:

• Tráfego entre regiões e zonas
• Tráfego para países específicos na Internet
• Tráfego para instalações e outras redes de nuvem
• Principais intervenientes na rede, incluindo VMs, anexos de VLAN e túneis de VPN na nuvem

Investigação forense de rede

Pode usar os registos de fluxo da VPC para análise forense de rede. Por exemplo, se ocorrer um incidente, pode examinar o seguinte:

• Que endereços IP comunicaram entre si e quando
• Que IPs estão comprometidos através da análise de todos os fluxos de rede de entrada e saída

Configurações suportadas

Pode ativar os registos de fluxo de VPC ao nível da organização e do projeto. Uma configuração de registos de fluxo de VPC ao nível da organização permite registos de fluxo para todas as sub-redes, anexos de VLAN e túneis de Cloud VPN em todas as redes de VPC na organização.

Ao nível do projeto, pode ativar os registos de fluxo de VPC para redes VPC, sub-redes, anexos de VLAN e túneis do Cloud VPN específicos.

Âmbito da configuração	Gera registos de fluxo para estes recursos	Passos para ativar
Organização	Todas as instâncias de VM em todas as sub-redes na organização Todas as associações VLAN na organização Todos os túneis do Cloud VPN na organização	Ative os registos de fluxo de VPC para uma organização
Rede da VPC	Todas as instâncias de VM em todas as sub-redes na rede de VPC Todas as associações VLAN na rede de VPC Todos os túneis do Cloud VPN na rede VPC	Ative os registos de fluxo da VPC para uma rede de VPC
Sub-rede	Todas as instâncias de VM numa sub-rede específica	Ative os registos de fluxo da VPC para uma sub-rede: Recomendado: ative os registos de fluxo de VPC para uma sub-rede (API Network Management) Ative os registos de fluxo da VPC para uma sub-rede (API Compute Engine)
Associação VLAN	Uma associação VLAN específica	Ative os registos de fluxo da VPC para uma associação VLAN
Túnel do Cloud VPN	Um túnel do Cloud VPN específico	Ative os registos de fluxo de VPC para um túnel de VPN na nuvem

Pode usar a filtragem para personalizar estes âmbitos de configuração. Para mais informações, consulte o artigo Amostragem e processamento de registos.

Recolha de registos

Os pacotes são amostrados num intervalo de agregação. Todos os pacotes recolhidos para uma determinada ligação IP dentro do intervalo de agregação são agregados numa única entrada do registo de fluxo. Em seguida, estes dados são enviados para o Registo no Google Cloud projeto da rede VPC que comunicou o fluxo.

Por predefinição, os registos são armazenados no Logging durante 30 dias. Se quiser manter os registos durante mais tempo, pode definir um período de retenção personalizado ou exportá-los para um destino suportado.

Amostragem e processamento de registos

Para gerar registos de fluxo, os registos de fluxo de VPC fazem a amostragem de pacotes que saem e entram numa VM ou passam por um gateway, como uma ligação VLAN ou um túnel do Cloud VPN. Depois de os registos de fluxo serem gerados, os registos de fluxo da VPC processam-nos seguindo o procedimento descrito nesta secção.

Os registos de fluxo de VPC fazem a amostragem de pacotes através de uma taxa de amostragem primária. A taxa de amostragem principal é dinâmica e varia consoante a carga do anfitrião físico que executa a VM ou o gateway no momento da amostragem. A probabilidade de amostragem de qualquer ligação IP única aumenta com o volume de pacotes. Não pode controlar o processo de amostragem dos registos de fluxo principal nem ajustar a taxa de amostragem principal.

Depois de os registos de fluxo serem gerados, os registos de fluxo de VPC processam-nos de acordo com o seguinte procedimento:

1. Filtragem. Pode especificar que apenas são gerados registos que correspondam a critérios especificados. Por exemplo, pode filtrar para que apenas sejam gerados registos para uma determinada VM ou apenas registos com um determinado valor de metadados e os restantes sejam rejeitados. Para mais informações, consulte o artigo Filtragem de registos.
2. Agregação. As informações dos pacotes com amostragem são agregadas num intervalo de agregação configurável para produzir uma entrada de registo de fluxo.
3. Amostragem de registos de fluxo secundários. Este é um segundo processo de amostragem. As entradas do registo de fluxo são ainda mais amostradas de acordo com um parâmetro de taxa de amostragem secundária configurável. A amostragem secundária é realizada nos registos de fluxo gerados pelo processo de amostragem de registos de fluxo principal. Por exemplo, se a taxa de amostragem secundária estiver definida como 1, 0 ou 100%, os registos de fluxo do VPC fazem a amostragem de 100% dos registos de fluxo gerados pela amostragem de registos de fluxo principal.
4. Metadados. Se estiver desativada, todas as anotações de metadados são rejeitadas. Se quiser manter os metadados, pode reter todos os campos ou um conjunto específico de campos. Para mais informações, consulte o artigo Anotações de metadados.
5. Escrever no registo. As entradas de registo finais são escritas no Cloud Logging.

Uma vez que os registos de fluxo da VPC não capturam todos os pacotes, compensam os pacotes em falta através da interpolação dos pacotes capturados. Isto acontece para pacotes perdidos devido às definições de amostragem iniciais e configuráveis pelo utilizador.

Embora Google Cloud não capture todos os pacotes, os registos de registo de capturas podem ser bastante grandes. Pode equilibrar a visibilidade do tráfego e as necessidades de custos de armazenamento ajustando os seguintes aspetos da recolha de registos:

• Intervalo de agregação. Os pacotes de amostra para um intervalo de tempo são agregados numa única entrada de registo. Este intervalo de tempo pode ser de 5 segundos (predefinição), 30 segundos, 1 minuto, 5 minutos, 10 minutos ou 15 minutos.
• Taxa de amostragem secundária.
  • Para as configurações criadas com a API Compute Engine, 50% das entradas de registo são mantidas por predefinição. Pode definir este parâmetro de 1.0 (100%, todas as entradas de registo são mantidas) para 0.0 (0%, nenhum registo é mantido).
  • Para configurações criadas com a API Network Management, 100% das entradas de registo são mantidas por predefinição. Pode definir este parâmetro de 1.0 para um valor superior a 0.0.
• Anotações de metadados. Por predefinição, as entradas do registo de fluxo são anotadas com informações de metadados, como os nomes da origem e do destino no interior Google Cloud ou a região geográfica de origens e destinos externos. As anotações de metadados podem ser desativadas ou pode especificar apenas determinadas anotações para poupar espaço de armazenamento.
• Filtragem. Por predefinição, os registos são gerados para cada fluxo de amostra. Pode definir filtros para gerar registos que correspondam apenas a determinados critérios.

Especificações

• Os registos de fluxo de VPC não introduzem atrasos nem penalizações de desempenho quando ativados.
• Os registos de fluxo de VPC funcionam com redes VPC e não com redes antigas.
• Os registos de fluxo de VPC usam amostragem de fluxos TCP, UDP, ICMP, ESP, GRE e RDMA:
  • Ambos os fluxos de entrada e saída são amostrados. Para RDMA over Converged Ethernet (RoCE), apenas são amostrados fluxos de saída.
  • Os fluxos podem estar dentro Google Cloud ou entre Google Cloud e outras redes.
  • Se um fluxo for capturado pela amostragem, os registos de fluxo de VPC geram um registo para o fluxo. Cada registo de fluxo inclui as informações descritas na secção Formato de registo.
• Os registos de fluxo de VPC interagem com as regras de firewall das seguintes formas:
  • Os pacotes de saída são amostrados antes das regras de firewall de saída. Mesmo que uma regra de firewall de saída negue pacotes de saída, esses pacotes podem ser amostrados pelos registos de fluxo de VPC.
  • Os pacotes de entrada são amostrados após as regras de firewall de entrada. Se uma regra de firewall de entrada recusar pacotes de entrada, esses pacotes não são amostrados pelos registos de fluxo de VPC.
• Pode usar filtros nos registos de fluxo da VPC para gerar apenas determinados registos.
• Os registos de fluxo da VPC suportam VMs com várias interfaces de rede. Em cada VPC, tem de ativar os registos de fluxo de VPC para cada sub-rede que contenha uma interface de rede.
• Para registar fluxos entre pods no mesmo nó do Google Kubernetes Engine (GKE), tem de ativar a visibilidade dentro dos nós para o cluster.
• Os registos de fluxo de VPC não são suportados para recursos do Cloud Run.
• Os VPC Flow Logs não são suportados para sub-redes com o objetivo INTERNAL_HTTPS_LOAD_BALANCER, porque estas sub-redes são usadas como sub-redes apenas de proxy e não têm instâncias de VM.
• Os registos de fluxo de VPC escrevem registos no projeto da rede de VPC de relatórios. Para recursos em redes VPC partilhadas, os registos são comunicados no projeto anfitrião.

Preços e faturação

Aplicam-se os preços padrão para o Logging, o BigQuery ou o Pub/Sub. Os preços dos registos de fluxo da VPC estão descritos nos preços de telemetria de rede.

As cobranças dos registos de fluxo da VPC são faturadas ao Google Cloud projeto do recurso que comunica os registos de fluxo. Se os registos de fluxo da VPC estiverem ativados para uma organização, cada projeto é faturado separadamente.

O que se segue?

• Para saber mais sobre o formato de registo dos registos de fluxo de VPC e que anotações de metadados estão disponíveis, consulte o artigo Acerca dos registos de fluxo de VPC.
• Para ver exemplos de registos de fluxo da VPC recolhidos para vários exemplos de utilização, consulte o artigo Acerca dos fluxos de tráfego.
• Para começar a criar relatórios de fluxos para uma sub-rede, consulte o artigo Configure os registos de fluxo de VPC.