/ 虚拟私有云 vpc/ 用户指南/ / 流量镜像概述
更新时间:2025-02-25 gmt 08:00
查看pdf

流量镜像概述-九游平台

流量镜像

vpc流量镜像功能可以镜像指定镜像源实例(如弹性网卡)符合筛选条件的报文。您需要设置入方向和出方向的筛选条件,经过镜像源实例的流量符合筛选条件时,将被镜像到指定的镜像目的实例(如云服务器网卡或者弹性负载均衡elb),适用于网络流量检查、审计分析以及问题定位等场景。

流量镜像功能当前暂不收费。待后续启动收费时,将会提前通知您。

目前部分区域支持流量镜像功能,具体请打开,并选择“流量镜像”查看。

流量镜像概念

首先,为您介绍流量镜像功能中的基础概念:
  • 筛选条件:筛选条件包含入方向规则和出方向规则,规则由优先级、流量采集策略以及匹配条件组成。
    • 入方向规则:用来匹配镜像源接收到的流量。
    • 出方向规则:用来匹配镜像源发送出去的流量。
  • 镜像源:镜像源为弹性网卡,表示需要镜像该弹性网卡的流量。
  • 镜像目的:镜像目的为云服务器网卡或者弹性负载均衡实例,用来接受镜像的流量。
  • 镜像会话:使用流量镜像功能,您需要创建镜像会话,通过在镜像会话中关联筛选条件、镜像源和镜像目的,将镜像源符合筛选条件的流量镜像到镜像目的实例。

流量镜像工作原理

以下为您介绍流量镜像的工作原理,以图1为例,在镜像会话中,关联了两个镜像源,一个筛选条件以及一个镜像目的,详细介绍如下:
  • 镜像源01是弹性网卡-b,弹性网卡-b属于ecs-b。本示例中,ecs-b访问ecs-a,需要镜像弹性网卡-b的出方向和入方向流量。
  • 镜像源02是弹性网卡-c,弹性网卡-c属于ecs-c。本示例中,公网客户端访问ecs-c,需要镜像弹性网卡-c的入方向和出方向流量。
  • 筛选条件包含流量的入方向规则和出方向规则。
  • 镜像目的使用弹性负载均衡elb实例,用来接受镜像的流量。

表1中,以镜像源弹性网卡-b和弹性网卡-c为例,为您介绍网络流量的镜像原理。

图1 流量镜像架构图
表1 网络流量的镜像路径说明

镜像源

访问路径

报文

方向

说明

弹性网卡-b

ecs-b访问ecs-a

请求报文:报文01

出方向

从ecs-b发出的请求报文01,对弹性网卡-b来说,属于出方向。当报文01匹配上筛选条件的出方向规则时,则将报文01镜像到elb实例。

响应报文:报文02

入方向

从ecs-a返回的响应报文02,对弹性网卡-b来说,属于入方向。当该报文匹配上筛选条件的入方向规则时,则将报文02镜像到elb实例。

弹性网卡-c

公网访问ecs-c

请求报文:报文03

入方向

从公网发出的请求报文03,对弹性网卡-c来说,属于入方向。当报文03匹配上筛选条件的入方向规则时,则将报文03镜像到elb实例。

响应报文:报文04

出方向

从ecs-c返回的响应报文04,对弹性网卡-c来说,属于出方向。当报文04匹配上筛选条件的出方向规则时,则将报文04镜像到elb实例。
筛选条件配置示例如表2所示,结合配置示例,为您介绍镜像会话是如何筛选网络流量的。
表2 流量筛选说明

方向

优先级

协议

策略

类型

源地址

源端口范围

目的地址

目的端口范围

筛选示例说明

入方向

1

tcp

采集

ipv4

172.16.0.0/24

10000-10001

10.0.0.3/32

80-80

当网络流量进入镜像源的弹性网卡时,镜像会话将会镜像符合以下条件的报文:

使用tcp (ipv4)协议,源地址网段为172.16.0.0/24、源端口为10000或者10001,目的地址为10.0.0.3/32、目的端口为80。

出方向

1

全部

不采集

ipv4

192.168.0.0/24

全部

10.2.0.0/24

全部

当网络流量从镜像源的弹性网卡出去时,镜像会话将不会镜像符合以下条件的报文:

使用全部 (ipv4)协议,源地址网段为192.168.0.0/24、源端口为全部,目的地址网段为10.2.0.0/24、目的端口为全部。

流量镜像应用场景

  • 网络流量检查:

    当您需要进行网络入侵检测时,通过流量镜像功能可以镜像您所需的网络流量。获取到流量后,您可以使用安全软件对流量进行全面分析检查,快速查找安全漏洞,确保网络安全。

  • 网络流量审计:

    通过流量镜像功能,您可以将流量镜像到指定的平台进行审计分析,适用于金融等对安全性要求比较高的业务场景。

  • 网络问题定位:

    通过流量镜像功能,运维工程师直接查看镜像的流量来排查问题,而不用通过业务服务器抓取报文,避免了运维期间可能对业务造成的影响。

流量镜像匹配规则

根据流量镜像的匹配规则,当同一个镜像源的同一个报文同时符合多个筛选条件规则时,该报文也仅会被匹配一次,匹配原则详细说明如下:

表3 流量镜像匹配规则

匹配原则

说明

顺序匹配
根据优先级从高到低按顺序进行匹配。优先级的数字越小,优先级越高,比如1的优先级高于2。
  • 镜像会话优先级:同一个镜像源可同时被关联至多个镜像会话,此时根据镜像会话的优先级,按照从高到低的顺序匹配。

    镜像会话的匹配规则请参见镜像会话的匹配规则

  • 筛选条件规则优先级:一个镜像会话只可以关联一个筛选条件,一个筛选条件中可以包含多个规则,此时根据规则的优先级,按照从高到低的顺序匹配。

    筛选条件规则分为入方向规则和出方向规则,包含优先级、流量采集策略以及匹配条件。

    筛选条件的匹配规则请参见筛选条件的匹配规则

唯一匹配

报文只要与一个筛选条件规则匹配,就不会再去尝试匹配其他规则。
  • 镜像会话的匹配规则如图2所示。当一个镜像源同时被多个镜像会话关联时,以入方向的报文为例,报文根据镜像会话的优先级,按照从高到低的顺序匹配。
    • 当报文匹配上某个镜像会话中的筛选条件入方向规则,则执行以下操作:
      • 如果该规则的策略是采集,则镜像该报文。
      • 如果该规则的策略是不采集,则不会镜像该报文。
    • 当遍历了所有镜像会话中的筛选条件入方向规则,报文均没有匹配上,则不会镜像该报文,结束。
    示例:某个镜像源同时被镜像会话a和镜像会话b关联,镜像会话a的优先级是1,镜像会话b的优先级是2。当镜像源入方向的某个报文同时符合镜像会话a和镜像会话b里的筛选条件规则,此时根据镜像会话优先级,该报文优先匹配镜像会话a中的筛选条件规则,并执行该规则的采集策略,结束后,该报文不会继续匹配镜像会话b。
    图2 镜像会话匹配规则
  • 筛选条件的匹配规则如图3所示。当一个镜像源只被一个镜像会话关联时,以入方向的报文为例,报文根据入方向规则的优先级,按照从高到低的顺序匹配:
    • 当报文匹配上筛选条件的某个入方向规则,则执行以下操作:
      • 如果该规则的策略是采集,则镜像该报文。
      • 如果该规则的策略是不采集,则不会镜像该报文。
    • 当遍历了筛选条件中的所有入方向规则,报文均没有匹配上,则不会镜像该报文,结束。
    示例:当某个镜像源被镜像会话a关联,在镜像会话a的筛选条件中,入方向规则a和规则b的流量匹配条件相同,但优先级和流量采集策略不同。规则a的优先级为1,策略为不采集。规则b的优先级为2,策略为采集。当镜像源入方向的某个报文同时符合规则a和规则b的流量匹配条件时,此时根据规则优先级,该报文优先匹规则a,并执行不采集策略,即不镜像该报文,结束后,该报文不会继续匹配规则b。
    图3 筛选条件匹配规则

流量镜像的配额限制

流量镜像功能的各项配额说明如表4所示,部分默认配额可以提升,您可以根据提示申请扩大配额。
表4 流量镜像的配额说明

配额项目

默认配额

申请扩大配额

单个镜像会话可关联的镜像源数量

10个

申请更多配额,请参见管理vpc配额

单个镜像源可被关联的镜像会话数量

3个

不支持修改

单个镜像会话可关联的镜像目的数量

1个

不支持修改

单个镜像目的可被关联的镜像会话数量
  • 镜像目的为云服务器网卡时:10个
  • 镜像目的为弹性负载均衡时:200个

不支持修改

单个镜像会话可关联的筛选条件数量

1个

不支持修改

单个筛选条件可被关联的镜像会话数量

1000个

不支持修改

单个筛选条件可添加的规则数量
  • 入方向规则:10个
  • 出方向规则:10个

不支持修改

一个用户在单个区域可创建的镜像会话数量

20000个

不支持修改

流量镜像的使用限制

  • 图4所示,流量镜像的报文采用标准的vxlan报文格式封装,即原始报文经过vxlan封装后作为镜像报文在链路上传输。为避免镜像报文长度超过链路的最小mtu值(默认1500字节)而被截断,建议您设置镜像源mtu值(原始报文长度)链路最小mtu值少50字节,即镜像源mtu值不超过1450字节。预留50字节的空间可以确保原始报文加上封装报文后,总长度也不会超过链路mtu值。
    图4 流量镜像报文格式
  • 表5表6中为您提供了不同类型镜像源和镜像目的详细限制说明。
    表5 镜像源限制说明

    镜像源类型

    约束与限制

    弹性网卡
    • 当镜像源为弹性网卡时,弹性网卡需要绑定至ecs,当前流量镜像仅支持部分规格ecs的弹性网卡作为镜像源,包括c7t、ac7等。

      查询其余ecs规格支持情况,推荐您使用,并通过network_interface:traffic_mirroring_supported参数的响应值来判断ecs规格是否支持流量镜像。

    • 如果一个弹性网卡已被用作镜像源,则镜像目的不能使用该弹性网卡。
    • 流量镜像会占用弹性网卡绑定实例的带宽,并且不做独立限速。
    表6 镜像目的限制说明

    镜像目的类型

    约束与限制

    云服务器网卡
    • 当一个镜像目的实例需要接收来自多个镜像源的流量镜像时,为了确保正常使用,请您根据业务实际需要合理规划弹性网卡所属云服务器的规格。
    • 如果一个弹性网卡已被用作镜像源,则镜像目的不能使用该弹性网卡。

    弹性负载均衡

    由于封装的镜像报文为ipv4 udp协议,因此当弹性负载均衡elb作为镜像目的接收镜像流量时,需要使用支持udp协议的ipv4独享型elb。
  • 根据流量镜像的匹配规则,同一个镜像源的同一个报文同时符合多个筛选条件规则,也仅会被匹配一次,并且根据采集策略决定是否镜像到目的实例。
  • 对于镜像源弹性网卡已被安全组或者网络acl拦截丢弃的报文,流量镜像不会镜像该部分报文。
  • 当镜像源的报文符合筛选条件被镜像时,该报文不受镜像源安全组或者网络acl出方向规则约束,即您无需在镜像源的安全组或者网络acl做额外配置。但是如果需要将报文镜像到镜像目的实例时,则需要为镜像目的实例所在的安全组和网络acl配置以下规则:
    • 安全组规则:允许来自镜像源的udp协议报文访问镜像目的的4789端口。
      假如镜像源弹性网卡的私有ip地址为192.168.0.27,则安全组规则配置示例如表7所示,具体方法请参见添加安全组规则
      表7 安全组规则配置示例(弹性网卡)

      规则类别

      策略

      类型

      协议端口

      源地址

      入方向规则

      允许

      ipv4

      自定义udp: 4789

      ip地址:192.168.0.27/32

      此处仅为示例,请根据实际情况配置。
    • 网络acl规则:允许来自镜像源的udp协议报文访问镜像目的的4789端口。
      假如镜像源弹性网卡的私有ip地址为192.168.0.27,则网络acl规则配置示例如表8所示,具体方法请参见添加网络acl规则
      表8 网络acl规则配置示例(弹性网卡)

      规则类别

      类型

      策略

      协议

      源地址

      源端口范围

      目的地址

      目的端口范围

      入方向规则

      ipv4

      允许

      udp

      ip地址:192.168.0.27/32

      此处仅为示例,请根据实际情况配置。

      此处为空,表示全部端口。
      • 镜像目的为云服务器网卡时,建议配置网卡的ipv4私有地址,例如192.168.1.24/32。
      • 镜像目的为弹性负载均衡时,建议配置elb服务地址中的ipv4私有地址,例如192.168.1.25/32。

      此处仅为示例,请根据实际情况配置,确保网段覆盖镜像目的ip地址即可。

      4789

      必须放通4789端口,其他端口请根据实际情况配置。
  • 不同的虚拟私有云vpc之间网络不通,如果镜像源和镜像目的实例不在同一个vpc内,则您需要使用vpc对等连接或者企业路由器连通vpc之间的网络。
    • vpc对等连接的使用方法,请参见对等连接简介
    • 企业路由器的使用方法,请参见。

流量镜像使用流程

使用流量镜像功能,您需要创建镜像会话,通过在镜像会话中关联筛选条件、镜像源和镜像目的,实现指定流量的镜像,使用流程如图5所示。

图5 流量镜像使用流程
表9 流量镜像使用流程说明

步骤

说明

操作指导

设置镜像会话基本信息

设置镜像会话的名称,优先级等参数,开始创建镜像会话。

关联筛选条件

选择网络流量的筛选条件,关联至镜像会话。

一个镜像会话可以关联一个筛选条件,如果没有合适的筛选条件,您可以创建筛选条件,具体请参见。

关联镜像源

选择弹性网卡作为镜像源,关联至镜像会话。

一个镜像会话可关联多个镜像源。

关联镜像目的

选择云服务器网卡或者弹性负载均衡elb实例作为镜像目的,关联至镜像会话。

创建完成

镜像会话创建完成并开启后,对于镜像源符合筛选条件的网络流量,将被镜像到镜像目的实例。

如果您在创建镜像会话期间关闭了镜像会话,则无法监控镜像源的网络流量,开启镜像会话,具体请参见。
父主题:

相关文档

网站地图