查看不同VPC之间的互访流量（对等连接连通VPC）

方案架构

本示例中，通过VPC对等连接Peer-AB连通VPC-A和VPC-B的网络通信。运维工程师需要查看两个VPC之间的通信流量。则需要创建VPC流日志，并采集VPC-A的流日志进行分析定位。

图1 查看不同VPC之间的互访流量（对等连接连通VPC）
点击放大

约束与限制

关于流日志的使用限制，具体请查看VPC流日志的使用限制。

资源规划说明

本示例中，虚拟私有云VPC和子网、弹性云服务器ECS、VPC对等连接和VPC流日志等资源只要位于同一个区域内即可，可用区可以任意选择，无需保持一致。

以下资源规划详情仅为示例，您可以根据需要自行修改。

表1 资源规划总体说明
资源类型	资源数量	说明
虚拟私有云VPC和子网	VPC：2 子网：2	VPC名称：请根据实际情况设置，本示例为VPC-A和VPC-B。 IPv4网段：请根据实际情况设置，本示例VPC-A为192.168.0.0/16，VPC-B为172.16.0.0/16。子网名称：请根据实际情况设置，本示例分别为Subnet-A01和Subnet-B01。子网IPv4网段：请根据实际情况设置，本示例Subnet-A01为192.168.0.0/24，Subnet-B01为172.16.0.0/24。路由表：创建VPC时系统会自动创建一个默认路由表，本示例中VPC-A的默认路由表为rtb-VPC-A，VPC-B的默认路由表为rtb-VPC-B。
弹性云服务器ECS	2	本示例中，共需要2个ECS，配置说明如下：名称：根据实际情况设置，本示例分别为ECS-01、ECS-02。实例规格类型：本示例中采集ECS-01弹性网卡的流日志，当前仅支持部分规格ECS，具体请参见VPC流日志的使用限制。ECS-02的规格类型不做限制。镜像：请根据实际情况设置，本示例为公共镜像Huawei Cloud EulerOS 2.0 标准版 64位。系统盘：通用型SSD盘，40GB。数据盘：本示例未选购数据盘，请您根据实际业务需求选购数据盘。网络：虚拟私有云：选择您的虚拟私有云，本示例ECS-01为VPC-A，ECS-02为VPC-B。子网：选择子网，本示例ECS-01子网为Subnet-A01，ECS-02子网为Subnet-B01。安全组：本示例中，2个ECS属于同一个安全组Sg-X，需要确保表2中的规则均已正确添加即可。如果2个ECS属于不同的安全组，则除了分别在不同安全组配置表2中的规则外，还需要添加以下规则：比如ECS-01属于Sg-X，ECS-02属于Sg-A，则需要在Sg-X和Sg-A中额外添加表3中的规则，允许ECS-01和ECS-02流量互通。弹性公网IP：选择“暂不购买”。私有IP地址：ECS-01为192.168.0.66，ECS-02为172.16.0.31。
VPC对等连接	1	名称：请根据实际情况填写，本示例为Peering-AB。本端VPC：请根据网络规划填写，本示例选择VPC-A，网段为192.168.0.0/16。账户：请根据网络规划填写，本示例选择当前账户，表示对等连接两端VPC位于同一个账号内。对端VPC：请根据网络规划填写，本示例选择VPC-B，网段为172.16.0.0/16。路由规划：对等连接创建完成后，需要在本端VPC和对端VPC的路由表中分别添加路由，才可以连通两端网络，本示例路由规划请参见表4。
VPC流日志	1	名称：请根据实际情况设置，本示例为flowlog-A。资源类型：本示例为虚拟私有云。选择资源：请根据实际情况选择，本示例选择VPC-A，网段为192.168.0.0/16。采集类型：本示例为全部。日志组：请选择已有或者新创建日志组，以下为本示例详细设置。日志组名称：请根据实际情况设置，本示例为lts-group-A。日志存储时间（天）：请根据实际情况设置，本示例为30。日志流：请选择已有或者新创建日志流，以下为本示例详细设置。日志组名称：选择当前的日志组，本示例为lts-group-A。日志流名称：请根据实际情况设置，本示例为lts-topic-A。日志存储：建议开启，以便用于日志搜索分析。日志存储时间（天）：请根据实际情况设置，本示例为30。

表2 安全组Sg-X规则说明
方向	策略	类型	协议端口	源地址/目的地址	描述
入方向	允许	IPv4	TCP: 22	源地址：0.0.0.0/0	放通安全组内ECS的SSH(22)端口，用于远程登录Linux ECS。
入方向	允许	IPv4	TCP: 3389	源地址：0.0.0.0/0	放通安全组内ECS的RDP(3389)端口，用于远程登录Windows ECS。
入方向	允许	IPv4	全部	源地址：当前安全组Sg-X	针对IPv4，用于安全组内ECS之间网络互通。
入方向	允许	IPv6	全部	源地址：当前安全组Sg-X	针对IPv6，用于安全组内ECS之间网络互通。
出方向	允许	IPv4	全部	目的地址：0.0.0.0/0	针对IPv4，用于安全组内ECS访问外部，允许流量从安全组内ECS流出。
出方向	允许	IPv6	全部	目的地址：::/0	针对IPv6，用于安全组内ECS访问外部，允许流量从安全组内ECS流出。

本示例中，入方向源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器，如果将22或3389端口暴露到公网，可能存在网络安全风险，建议您将源IP设置为已知的IP地址，比如设置为您的本地PC地址。

表3 安全组Sg-X和Sg-A规则说明
安全组	方向	策略	类型	协议端口	源地址	描述
Sg-X	入方向	允许	IPv4	全部	安全组：Sg-A	针对IPv4，允许来自Sg-A内ECS的流量访问Sg-X内的ECS。
Sg-A	入方向	允许	IPv4	全部	安全组：Sg-X	针对IPv4，允许来自Sg-X内ECS的流量访问Sg-A内的ECS。

表4 VPC路由表规划
VPC名称	VPC路由表	目的地址	下一跳类型	下一跳	路由类型
VPC-A	默认路由表：rtb-VPC-A	VPC-B的网段：172.16.0.0/16	对等连接	Peering-AB	自定义
VPC-B	默认路由表：rtb-VPC-B	VPC-A的网段：192.168.0.0/16	对等连接	Peering-AB	自定义

操作流程

查看不同VPC之间的互访流量信息，流程如图2所示。

图2 查看不同VPC之间的互访流量（对等连接连通VPC）
点击放大

步骤一：创建云服务资源

创建2个VPC和2个子网。
具体方法请参见创建虚拟私有云和子网。
创建2个ECS。
具体方法请参见自定义购买ECS。
创建1个VPC对等连接，并在两端VPC路由表中添加路由。
- 两端VPC在同一个账号下，具体方法请参见创建相同账户下的对等连接。
- 两端VPC在不同账号下，具体方法请参见创建不同账户下的对等连接。

步骤二：创建VPC流日志

在云日志服务控制台中，创建日志组和日志流。
创建日志组，请参见创建日志组。

创建日志流，请参见创建日志流。
创建1个VPC流日志。
具体方法请参见创建VPC流日志。

步骤三：查看VPC流日志信息

本文中采集VPC-A的流日志信息。

远程登录VPC-A的ECS-01。
ECS有多种登录方法，具体请参见登录弹性云服务器。
执行以下命令，采用ECS-01（VPC-A） ping ECS-02（VPC-B）的方法来产生流量，从而采集流日志。
ping ECS-02的私有IP地址

命令示例：

ping 172.16.0.31
回显类似如下信息，您需要等待大约10分钟，才能查看流日志记录详情。采集流日志期间请勿中断ping命令。
```
[root@ecs-01 ~]# ping 172.16.0.31
PING 172.16.0.31 (172.16.0.31) 56(84) bytes of data.
64 bytes from 172.16.0.31: icmp_seq=1 ttl=63 time=0.510 ms
64 bytes from 172.16.0.31: icmp_seq=2 ttl=63 time=0.392 ms
64 bytes from 172.16.0.31: icmp_seq=3 ttl=63 time=0.332 ms
...
```
等待大约10分钟，参考查看VPC流日志，查看VPC流日志信息。
您可以在搜索框中输入ECS-02的IP地址（172.16.0.31），快速过滤出ECS-01和ECS-02通信的流日志。

图3 查看日志信息
流日志格式：
```
<version> <project-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>
```
- 流日志示例：1 857dcccea8644ce1abcfc57b6474c5ad 10b6d5df-8abe-4bc5-85ba-f01ce445dacc 192.168.0.66 172.16.0.31 8 0 1 258 25284 1740022820 1740023420 ACCEPT OK
- 流日志含义：VPC流日志版本为1，在2025-02-20 11:40:20~2025-02-20 11:50:20这10分钟时间内，网卡（10b6d5df-8abe-4bc5-85ba-f01ce445dacc）允许（ACCEPT）流过的流量信息。由源端IP地址192.168.0.66通过ICMP协议（protocol=1）向目的端IP地址172.16.0.31传输了258个 echo request（type=8,code=0）数据包，所有数据包的大小为25284byte。
  关于流日志数据的详细说明，请参见VPC流日志数据说明。

步骤四：对VPC流日志进行结构化配置及可视化分析

云日志服务支持对采集成功的日志数据进行搜索与分析，并可视化展示日志分析结果。

执行搜索与分析前，将上报的日志进行结构化配置。

本示例参数设置如表5所示，具体操作请参见云端结构化解析日志。

图4 设置云端结构化解析日志
点击放大

表5 结构化配置-参数说明
操作序号	操作指导
①	结构化方式选择“分隔符”
②	在文本框中，输入VPC流日志示例： 1 f0512a6441dc47189f5e03a428f48267 ef676eb6-0a0a-4939-85c9-9f8db1d1937c 192.168.0.66 192.168.1.31 8 0 1 585 57330 1739877133 1739877733 ACCEPT OK
③	分隔符选择“空格”
④	单击“智能提取”
⑤	在智能提取的字段列表中，依次将字段名字改为流日志的字段名称： version、project-id、interface-id、srcaddr、dstaddr、srcport、dstport、protocol、packets、bytes、start、end、action、log-status

完成云端结构化解析配置后，可以进行日志分析。
本示例为您介绍以下两种可视化日志分析方法：
- 使用统计图表将日志可视化：统计图表是云日志服务根据SQL查询语法渲染出的结果，包括表格、柱状图、折线图等多种图表类型。
  1. 在“日志分析”页签内，参考SQL分析语法编写所需的语句，并输入在搜索框中，获取所需的日志。
    本示例以分析ECS-01每1小时的数据流量为例。
```
SELECT TIME_FORMAT(TIME_CEIL(__time, 'PT1H'), 'yyyy-MM-dd HH:mm:ss') as "time", count(1) as pv group by "time"
```
  2. 在页面右侧配置区域，设置图表时间和其他信息。
    本示例查看1天时间范围内，每小时的流量数据，更多统计图表信息请参见统计图表概述。
    
    图5 流量折线图
- 使用仪表盘将日志可视化：仪表盘是云日志服务提供的实时数据分析大盘。
  1. 将VPC服务接入LTS服务中，具体操作请参见虚拟私有云VPC接入LTS。
  2. VPC接入成功后，在云日志服务控制台，选择“仪表盘 > VPC仪表盘 > VPC流日志”。
    进入VPC仪表盘详情页面，稍等几分钟，可查看流日志数据，更多仪表盘信息请参见VPC仪表盘模板。
    
    图6 VPC流日志仪表盘