文档首页/ 虚拟私有云 VPC/ 用户指南/ VPC流日志/ VPC流日志配置示例/ 查看不同VPC之间的互访流量(对等连接连通VPC)
更新时间:2025-07-25 GMT+08:00

查看不同VPC之间的互访流量(对等连接连通VPC)

方案架构

本示例中,通过VPC对等连接Peer-AB连通VPC-A和VPC-B的网络通信。运维工程师需要查看两个VPC之间的通信流量。则需要创建VPC流日志,并采集VPC-A的流日志进行分析定位。

图1 查看不同VPC之间的互访流量(对等连接连通VPC)

约束与限制

关于流日志的使用限制,具体请查看VPC流日志的使用限制

资源规划说明

本示例中,虚拟私有云VPC和子网、弹性云服务器ECS、VPC对等连接和VPC流日志等资源只要位于同一个区域内即可,可用区可以任意选择,无需保持一致。

以下资源规划详情仅为示例,您可以根据需要自行修改。

表1 资源规划总体说明

资源类型

资源数量

说明

虚拟私有云VPC和子网

VPC:2

子网:2

  • VPC名称:请根据实际情况设置,本示例为VPC-A和VPC-B。
  • IPv4网段:请根据实际情况设置,本示例VPC-A为192.168.0.0/16,VPC-B为172.16.0.0/16。
  • 子网名称:请根据实际情况设置,本示例分别为Subnet-A01和Subnet-B01。
  • 子网IPv4网段:请根据实际情况设置,本示例Subnet-A01为192.168.0.0/24,Subnet-B01为172.16.0.0/24。
  • 路由表:创建VPC时系统会自动创建一个默认路由表,本示例中VPC-A的默认路由表为rtb-VPC-A,VPC-B的默认路由表为rtb-VPC-B。

弹性云服务器ECS

2

本示例中,共需要2个ECS,配置说明如下:
  • 名称:根据实际情况设置,本示例分别为ECS-01、ECS-02。
  • 实例规格类型:本示例中采集ECS-01弹性网卡的流日志,当前仅支持部分规格ECS,具体请参见VPC流日志的使用限制。ECS-02的规格类型不做限制。
  • 镜像:请根据实际情况设置,本示例为公共镜像Huawei Cloud EulerOS 2.0 标准版 64位。
  • 系统盘:通用型SSD盘,40GB。
  • 数据盘:本示例未选购数据盘,请您根据实际业务需求选购数据盘。
  • 网络:
    • 虚拟私有云:选择您的虚拟私有云,本示例ECS-01为VPC-A,ECS-02为VPC-B。
    • 子网:选择子网,本示例ECS-01子网为Subnet-A01,ECS-02子网为Subnet-B01。
  • 安全组:本示例中,2个ECS属于同一个安全组Sg-X,需要确保表2中的规则均已正确添加即可。

    如果2个ECS属于不同的安全组,则除了分别在不同安全组配置表2中的规则外,还需要添加以下规则:

    比如ECS-01属于Sg-X,ECS-02属于Sg-A,则需要在Sg-X和Sg-A中额外添加表3中的规则,允许ECS-01和ECS-02流量互通。

  • 弹性公网IP:选择“暂不购买”。
  • 私有IP地址:ECS-01为192.168.0.66,ECS-02为172.16.0.31。

VPC对等连接

1

  • 名称:请根据实际情况填写,本示例为Peering-AB。
  • 本端VPC:请根据网络规划填写,本示例选择VPC-A,网段为192.168.0.0/16。
  • 账户:请根据网络规划填写,本示例选择当前账户,表示对等连接两端VPC位于同一个账号内。
  • 对端VPC:请根据网络规划填写,本示例选择VPC-B,网段为172.16.0.0/16。
  • 路由规划:对等连接创建完成后,需要在本端VPC和对端VPC的路由表中分别添加路由,才可以连通两端网络,本示例路由规划请参见表4

VPC流日志

1

  • 名称:请根据实际情况设置,本示例为flowlog-A。
  • 资源类型:本示例为虚拟私有云。
  • 选择资源:请根据实际情况选择,本示例选择VPC-A,网段为192.168.0.0/16。
  • 采集类型:本示例为全部。
  • 日志组:请选择已有或者新创建日志组,以下为本示例详细设置。
    • 日志组名称:请根据实际情况设置,本示例为lts-group-A。
    • 日志存储时间(天):请根据实际情况设置,本示例为30。
  • 日志流:请选择已有或者新创建日志流,以下为本示例详细设置。
    • 日志组名称:选择当前的日志组,本示例为lts-group-A。
    • 日志流名称:请根据实际情况设置,本示例为lts-topic-A。
    • 日志存储:建议开启,以便用于日志搜索分析。
    • 日志存储时间(天):请根据实际情况设置,本示例为30。
表2 安全组Sg-X规则说明

方向

策略

类型

协议端口

源地址/目的地址

描述

入方向

允许

IPv4

TCP: 22

源地址:0.0.0.0/0

放通安全组内ECS的SSH(22)端口,用于远程登录Linux ECS。

入方向

允许

IPv4

TCP: 3389

源地址:0.0.0.0/0

放通安全组内ECS的RDP(3389)端口,用于远程登录Windows ECS。

入方向

允许

IPv4

全部

源地址:当前安全组Sg-X

针对IPv4,用于安全组内ECS之间网络互通。

入方向

允许

IPv6

全部

源地址:当前安全组Sg-X

针对IPv6,用于安全组内ECS之间网络互通。

出方向

允许

IPv4

全部

目的地址:0.0.0.0/0

针对IPv4,用于安全组内ECS访问外部,允许流量从安全组内ECS流出。

出方向

允许

IPv6

全部

目的地址:::/0

针对IPv6,用于安全组内ECS访问外部,允许流量从安全组内ECS流出。

本示例中,入方向源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器,如果将22或3389端口暴露到公网,可能存在网络安全风险,建议您将源IP设置为已知的IP地址,比如设置为您的本地PC地址。

表3 安全组Sg-X和Sg-A规则说明

安全组

方向

策略

类型

协议端口

源地址

描述

Sg-X

入方向

允许

IPv4

全部

安全组:Sg-A

针对IPv4,允许来自Sg-A内ECS的流量访问Sg-X内的ECS。

Sg-A

入方向

允许

IPv4

全部

安全组:Sg-X

针对IPv4,允许来自Sg-X内ECS的流量访问Sg-A内的ECS。

表4 VPC路由表规划

VPC名称

VPC路由表

目的地址

下一跳类型

下一跳

路由类型

VPC-A

默认路由表:rtb-VPC-A

VPC-B的网段:172.16.0.0/16

对等连接

Peering-AB

自定义

VPC-B

默认路由表:rtb-VPC-B

VPC-A的网段:192.168.0.0/16

对等连接

Peering-AB

自定义

操作流程

查看不同VPC之间的互访流量信息,流程如图2所示。

图2 查看不同VPC之间的互访流量(对等连接连通VPC)

步骤一:创建云服务资源

  1. 创建2个VPC和2个子网。

    具体方法请参见创建虚拟私有云和子网

  2. 创建2个ECS。

    具体方法请参见自定义购买ECS

  3. 创建1个VPC对等连接,并在两端VPC路由表中添加路由。

步骤二:创建VPC流日志

  1. 在云日志服务控制台中,创建日志组和日志流。

    创建日志组,请参见创建日志组

    创建日志流,请参见创建日志流

  2. 创建1个VPC流日志。

    具体方法请参见创建VPC流日志

步骤三:查看VPC流日志信息

本文中采集VPC-A的流日志信息。

  1. 远程登录VPC-A的ECS-01。

    ECS有多种登录方法,具体请参见登录弹性云服务器

  2. 执行以下命令,采用ECS-01(VPC-A) ping ECS-02(VPC-B)的方法来产生流量,从而采集流日志。

    ping ECS-02的私有IP地址

    命令示例:

    ping 172.16.0.31

    回显类似如下信息,您需要等待大约10分钟,才能查看流日志记录详情。采集流日志期间请勿中断ping命令。
    [root@ecs-01 ~]# ping 172.16.0.31
    PING 172.16.0.31 (172.16.0.31) 56(84) bytes of data.
    64 bytes from 172.16.0.31: icmp_seq=1 ttl=63 time=0.510 ms
    64 bytes from 172.16.0.31: icmp_seq=2 ttl=63 time=0.392 ms
    64 bytes from 172.16.0.31: icmp_seq=3 ttl=63 time=0.332 ms
    ...
  3. 等待大约10分钟,参考查看VPC流日志,查看VPC流日志信息。

    您可以在搜索框中输入ECS-02的IP地址(172.16.0.31),快速过滤出ECS-01和ECS-02通信的流日志。

    图3 查看日志信息
    流日志格式:
    <version> <project-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>
    • 流日志示例:1 857dcccea8644ce1abcfc57b6474c5ad 10b6d5df-8abe-4bc5-85ba-f01ce445dacc 192.168.0.66 172.16.0.31 8 0 1 258 25284 1740022820 1740023420 ACCEPT OK
    • 流日志含义:VPC流日志版本为1,在2025-02-20 11:40:20~2025-02-20 11:50:20这10分钟时间内,网卡(10b6d5df-8abe-4bc5-85ba-f01ce445dacc)允许(ACCEPT)流过的流量信息。由源端IP地址192.168.0.66通过ICMP协议(protocol=1)向目的端IP地址172.16.0.31传输了258个 echo request(type=8,code=0)数据包,所有数据包的大小为25284byte。

      关于流日志数据的详细说明,请参见VPC流日志数据说明

步骤四:对VPC流日志进行结构化配置及可视化分析

云日志服务支持对采集成功的日志数据进行搜索与分析,并可视化展示日志分析结果。
  1. 执行搜索与分析前,将上报的日志进行结构化配置。

    本示例参数设置如表5所示,具体操作请参见云端结构化解析日志

    图4 设置云端结构化解析日志
    表5 结构化配置-参数说明

    操作序号

    操作指导

    结构化方式选择“分隔符”

    在文本框中,输入VPC流日志示例:

    1 f0512a6441dc47189f5e03a428f48267 ef676eb6-0a0a-4939-85c9-9f8db1d1937c 192.168.0.66 192.168.1.31 8 0 1 585 57330 1739877133 1739877733 ACCEPT OK

    分隔符选择“空格”

    单击“智能提取”

    在智能提取的字段列表中,依次将字段名字改为流日志的字段名称:

    version、project-id、interface-id、srcaddr、dstaddr、srcport、dstport、protocol、packets、bytes、start、end、action、log-status

  2. 完成云端结构化解析配置后,可以进行日志分析。
    本示例为您介绍以下两种可视化日志分析方法:
    • 使用统计图表将日志可视化:统计图表是云日志服务根据SQL查询语法渲染出的结果,包括表格、柱状图、折线图等多种图表类型。
      1. 在“日志分析”页签内,参考SQL分析语法编写所需的语句,并输入在搜索框中,获取所需的日志。

        本示例以分析ECS-01每1小时的数据流量为例。

        SELECT TIME_FORMAT(TIME_CEIL(__time, 'PT1H'), 'yyyy-MM-dd HH:mm:ss') as "time", count(1) as pv group by "time"
      2. 在页面右侧配置区域,设置图表时间和其他信息。

        本示例查看1天时间范围内,每小时的流量数据,更多统计图表信息请参见统计图表概述

        图5 流量折线图
    • 使用仪表盘将日志可视化:仪表盘是云日志服务提供的实时数据分析大盘。
      1. 将VPC服务接入LTS服务中,具体操作请参见虚拟私有云VPC接入LTS
      2. VPC接入成功后,在云日志服务控制台,选择“仪表盘 > VPC仪表盘 > VPC流日志”。

        进入VPC仪表盘详情页面,稍等几分钟,可查看流日志数据,更多仪表盘信息请参见VPC仪表盘模板

        图6 VPC流日志仪表盘