流量镜像概述 | 您所在的位置:网站首页 › 提供镜像 › 流量镜像概述 |
流量镜像
VPC流量镜像功能可以镜像弹性网卡符合筛选条件的报文。您需要设置入方向和出方向的筛选条件,经过弹性网卡的流量符合筛选条件时,将被镜像到指定的云服务器网卡或者弹性负载均衡ELB实例,适用于网络流量检查、审计分析以及问题定位等场景。 ![]() 流量镜像功能当前暂不收费。待后续启动收费时,将会提前通知您。 目前部分区域支持流量镜像功能,具体请打开功能总览,并选择“流量镜像”查看。 流量镜像概念 首先,为您介绍流量镜像功能中的基础概念: 筛选条件:筛选条件包含入方向规则和出方向规则,规则由优先级、流量采集策略以及匹配条件组成。 入方向规则:用来匹配镜像源接收到的流量。 出方向规则:用来匹配镜像源发送出去的流量。 镜像源:镜像源为弹性网卡,表示需要镜像该弹性网卡的流量。 镜像目的:镜像目的为云服务器网卡或者弹性负载均衡实例,用来接受镜像的流量。 镜像会话:使用流量镜像功能,您需要创建镜像会话,通过在镜像会话中关联筛选条件、镜像源和镜像目的,将镜像源符合筛选条件的流量镜像到镜像目的实例。 流量镜像工作原理 以下为您介绍流量镜像的工作原理,以图1为例,在镜像会话中,关联了两个镜像源,一个筛选条件以及一个镜像目的,详细介绍如下: 镜像源01是弹性网卡-B,弹性网卡-B属于ECS-B。本示例中,ECS-B访问ECS-A,需要镜像弹性网卡-B的出方向和入方向流量。 镜像源02是弹性网卡-C,弹性网卡-C属于ECS-C。本示例中,公网客户端访问ECS-C,需要镜像弹性网卡-C的入方向和出方向流量。 筛选条件包含流量的入方向规则和出方向规则。 镜像目的使用弹性负载均衡ELB实例,用来接受镜像的流量。在表1中,以镜像源弹性网卡-B和弹性网卡-C为例,为您介绍网络流量的镜像原理。 图1 流量镜像架构图![]() 镜像源 访问路径 报文 方向 说明 弹性网卡-B ECS-B访问ECS-A 请求报文:报文01 出方向 从ECS-B发出的请求报文01,对弹性网卡-B来说,属于出方向。当报文01匹配上筛选条件的出方向规则时,则将报文01镜像到ELB实例。 响应报文:报文02 入方向 从ECS-A返回的响应报文02,对弹性网卡-B来说,属于入方向。当该报文匹配上筛选条件的入方向规则时,则将报文02镜像到ELB实例。 弹性网卡-C 公网访问ECS-C 请求报文:报文03 入方向 从公网发出的请求报文03,对弹性网卡-C来说,属于入方向。当报文03匹配上筛选条件的入方向规则时,则将报文03镜像到ELB实例。 响应报文:报文04 出方向 从ECS-C返回的响应报文04,对弹性网卡-C来说,属于出方向。当报文04匹配上筛选条件的出方向规则时,则将报文04镜像到ELB实例。 筛选条件配置示例如表2所示,结合配置示例,为您介绍镜像会话是如何筛选网络流量的。 表2 流量筛选说明方向 优先级 协议类型 策略 类型 源地址 源端口范围 目的地址 目的端口范围 筛选示例说明 入方向 1 TCP 采集 IPv4 172.16.0.0/24 10000-10001 10.0.0.3/32 80-80 当网络流量进入镜像源的弹性网卡时,镜像会话将会镜像符合以下条件的报文: 使用TCP (IPv4)协议,源地址网段为172.16.0.0/24、源端口为10000或者10001,目的地址为10.0.0.3/32、目的端口为80。 出方向 1 全部 不采集 IPv4 192.168.0.0/24 全部 10.2.0.0/24 全部 当网络流量从镜像源的弹性网卡出去时,镜像会话将不会镜像符合以下条件的报文: 使用全部 (IPv4)协议,源地址网段为192.168.0.0/24、源端口为全部,目的地址网段为10.2.0.0/24、目的端口为全部。 流量镜像应用场景 网络流量检查:当您需要进行网络入侵检测时,通过流量镜像功能可以镜像您所需的网络流量。获取到流量后,您可以使用安全软件对流量进行全面分析检查,快速查找安全漏洞,确保网络安全。 网络流量审计:通过流量镜像功能,您可以将流量镜像到指定的平台进行审计分析,适用于金融等对安全性要求比较高的业务场景。 网络问题定位:通过流量镜像功能,运维工程师直接查看镜像的流量来排查问题,而不用通过业务服务器抓取报文,避免了运维期间可能对业务造成的影响。 流量镜像匹配规则根据流量镜像的匹配规则,当同一个镜像源的同一个报文同时符合多个筛选条件规则时,该报文也仅会被匹配一次,匹配原则详细说明如下: 表3 流量镜像匹配规则匹配原则 说明 顺序匹配 根据优先级从高到低按顺序进行匹配。优先级的数字越小,优先级越高,比如1的优先级高于2。 镜像会话优先级:同一个镜像源可同时被关联至多个镜像会话,此时根据镜像会话的优先级,按照从高到低的顺序匹配。镜像会话的匹配规则请参见镜像会话的匹配规则。 筛选条件规则优先级:一个镜像会话只可以关联一个筛选条件,一个筛选条件中可以包含多个规则,此时根据规则的优先级,按照从高到低的顺序匹配。筛选条件规则分为入方向规则和出方向规则,包含优先级、流量采集策略以及匹配条件。 筛选条件的匹配规则请参见筛选条件的匹配规则。 唯一匹配 报文只要与一个筛选条件规则匹配,就不会再去尝试匹配其他规则。 镜像会话的匹配规则如图2所示。当一个镜像源同时被多个镜像会话关联时,以入方向的报文为例,报文根据镜像会话的优先级,按照从高到低的顺序匹配。 当报文匹配上某个镜像会话中的筛选条件入方向规则,则执行以下操作: 如果该规则的策略是采集,则镜像该报文。 如果该规则的策略是不采集,则不会镜像该报文。 当遍历了所有镜像会话中的筛选条件入方向规则,报文均没有匹配上,则不会镜像该报文,结束。 示例:某个镜像源同时被镜像会话A和镜像会话B关联,镜像会话A的优先级是1,镜像会话B的优先级是2。当镜像源入方向的某个报文同时符合镜像会话A和镜像会话B里的筛选条件规则,此时根据镜像会话优先级,该报文优先匹配镜像会话A中的筛选条件规则,并执行该规则的采集策略,结束后,该报文不会继续匹配镜像会话B。 图2 镜像会话匹配规则![]() ![]() 配额项目 默认配额 申请扩大配额 单个镜像会话可关联的镜像源数量 10个 申请更多配额,请参见申请扩大配额 单个镜像源可被关联的镜像会话数量 3个 不支持修改 单个镜像会话可关联的镜像目的数量 1个 不支持修改 单个镜像目的可被关联的镜像会话数量 镜像目的为云服务器网卡时:10个 镜像目的为弹性负载均衡时:200个不支持修改 单个镜像会话可关联的筛选条件数量 1个 不支持修改 单个筛选条件可被关联的镜像会话数量 1000个 不支持修改 单个筛选条件可添加的规则数量 入方向规则:10个 出方向规则:10个不支持修改 一个用户在单个区域可创建的镜像会话数量 20000个 不支持修改 流量镜像的使用限制 如图4所示,流量镜像的报文采用标准的VXLAN报文格式封装,更多有关VXLAN协议的信息,请参见RFC 7348。当被镜像的报文长度加上VXLAN报文长度大于镜像源实例的MTU值时,系统会对报文进行截断。为了防止报文被截断,建议您在IPv4场景下,设置弹性网卡的MTU值比链路支持的MTU值至少小64字节。 图4 流量镜像报文格式![]() 规则类别 策略 类型 协议端口 源地址 入方向规则 允许 IPv4 自定义UDP: 4789 IP地址:192.168.0.27/32 此处仅为示例,请根据实际情况配置。 网络ACL规则:入方向允许来自镜像源弹性网卡的IP访问所有端口的UDP协议报文。假如镜像源弹性网卡的IP地址为192.168.0.27,则网络ACL规则配置示例如表6所示,具体方法请参见添加网络ACL规则(默认生效顺序)。 表6 网络ACL规则配置示例规则类别 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 入方向规则 IPv4 允许 UDP IP地址:192.168.0.27/32 此处仅为示例,请根据实际情况配置。 此处为空,表示全部端口。 IP地址:10.10.0.0/24 此处仅为示例,请根据实际情况配置。 4789 必须放通4789端口,其他端口请根据实际情况配置。 不同的虚拟私有云VPC之间网络不通,如果镜像源和镜像目的实例不在同一个VPC内,则您需要使用VPC对等连接或者企业路由器连通VPC之间的网络。 VPC对等连接的使用方法,请参见对等连接简介。 企业路由器的使用方法,请参见通过企业路由器实现同区域VPC互通。 流量镜像使用流程使用流量镜像功能,您需要创建镜像会话,通过在镜像会话中关联筛选条件、镜像源和镜像目的,实现指定流量的镜像,使用流程如图5所示。 图5 流量镜像使用流程![]() 步骤 说明 操作指导 设置镜像会话基本信息 设置镜像会话的名称,优先级等参数,开始创建镜像会话。 创建镜像会话 关联筛选条件 选择网络流量的筛选条件,关联至镜像会话。 一个镜像会话可以关联一个筛选条件,如果没有合适的筛选条件,您可以创建筛选条件,具体请参见创建筛选条件。 关联镜像源 选择弹性网卡作为镜像源,关联至镜像会话。 一个镜像会话可关联多个镜像源。 当前流量镜像仅支持c7t规格云服务器的弹性网卡作为镜像源。关联镜像目的 选择云服务器网卡或者弹性负载均衡ELB实例作为镜像目的,关联至镜像会话。 创建完成 镜像会话创建完成并开启后,对于镜像源符合筛选条件的网络流量,将被镜像到镜像目的实例。 如果您在创建镜像会话期间关闭了镜像会话,则无法监控镜像源的网络流量,开启镜像会话,具体请参见开启/关闭镜像会话。 |
CopyRight 2018-2019 实验室设备网 版权所有 |