查看不同VPC之间的互访流量(对等连接连通VPC)
方案架构
本示例中,通过VPC对等连接Peer-AB连通VPC-A和VPC-B的网络通信。运维工程师需要查看两个VPC之间的通信流量。则需要创建VPC流日志,并采集VPC-A的流日志进行分析定位。
约束与限制
关于流日志的使用限制,具体请查看VPC流日志的使用限制。
资源规划说明
说明:
以下资源规划详情仅为示例,您可以根据需要自行修改。
|
资源类型 |
资源数量 |
说明 |
|---|---|---|
|
虚拟私有云VPC和子网 |
VPC:2 子网:2 |
|
|
弹性云服务器ECS |
2 |
本示例中,共需要2个ECS,配置说明如下:
|
|
VPC对等连接 |
1 |
|
|
流日志 |
1 |
|
|
方向 |
策略 |
类型 |
协议端口 |
源地址/目的地址 |
描述 |
|---|---|---|---|---|---|
|
入方向 |
允许 |
IPv4 |
TCP: 22 |
源地址:0.0.0.0/0 |
放通安全组内ECS的SSH(22)端口,用于远程登录Linux ECS。 |
|
入方向 |
允许 |
IPv4 |
TCP: 3389 |
源地址:0.0.0.0/0 |
放通安全组内ECS的RDP(3389)端口,用于远程登录Windows ECS。 |
|
入方向 |
允许 |
IPv4 |
全部 |
源地址:当前安全组Sg-X |
针对IPv4,用于安全组内ECS之间网络互通。 |
|
入方向 |
允许 |
IPv6 |
全部 |
源地址:当前安全组Sg-X |
针对IPv6,用于安全组内ECS之间网络互通。 |
|
出方向 |
允许 |
IPv4 |
全部 |
目的地址:0.0.0.0/0 |
针对IPv4,用于安全组内ECS访问外部,允许流量从安全组内ECS流出。 |
|
出方向 |
允许 |
IPv6 |
全部 |
目的地址:::/0 |
针对IPv6,用于安全组内ECS访问外部,允许流量从安全组内ECS流出。 |
警告:
本示例中,入方向源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器,如果将22或3389端口暴露到公网,可能存在网络安全风险,建议您将源IP设置为已知的IP地址,比如设置为您的本地PC地址。
|
安全组 |
方向 |
策略 |
类型 |
协议端口 |
源地址 |
描述 |
|---|---|---|---|---|---|---|
|
Sg-X |
入方向 |
允许 |
IPv4 |
全部 |
安全组:Sg-A |
针对IPv4,允许来自Sg-A内ECS的流量访问Sg-X内的ECS。 |
|
Sg-A |
入方向 |
允许 |
IPv4 |
全部 |
安全组:Sg-X |
针对IPv4,允许来自Sg-X内ECS的流量访问Sg-A内的ECS。 |
|
VPC名称 |
VPC路由表 |
目的地址 |
下一跳类型 |
下一跳 |
路由类型 |
|---|---|---|---|---|---|
|
VPC-A |
默认路由表:rtb-VPC-A |
VPC-B的网段:172.16.0.0/16 |
对等连接 |
Peering-AB |
自定义 |
|
VPC-B |
默认路由表:rtb-VPC-B |
VPC-A的网段:192.168.0.0/16 |
对等连接 |
Peering-AB |
自定义 |
步骤一:创建云服务资源
- 创建2个VPC和2个子网。
具体方法请参见创建虚拟私有云和子网。
- 创建2个ECS。
具体方法请参见自定义购买ECS。
- 创建1个VPC对等连接,并在两端VPC路由表中添加路由。
- 两端VPC在同一个账号下,具体方法请参见创建相同账户下的对等连接。
- 两端VPC在不同账号下,具体方法请参见创建不同账户下的对等连接。
步骤三:查看VPC流日志信息
本文中采集VPC-A的流日志信息。
- 远程登录VPC-A的ECS-01。
ECS有多种登录方法,具体请参见登录弹性云服务器。
- 执行以下命令,采用ECS-01(VPC-A) ping ECS-02(VPC-B)的方法来产生流量,从而采集流日志。
命令示例:
ping 172.16.0.31
回显类似如下信息,您需要等待大约10分钟,才能查看流日志记录详情。采集流日志期间请勿中断ping命令。[root@ecs-01 ~]# ping 172.16.0.31 PING 172.16.0.31 (172.16.0.31) 56(84) bytes of data. 64 bytes from 172.16.0.31: icmp_seq=1 ttl=63 time=0.510 ms 64 bytes from 172.16.0.31: icmp_seq=2 ttl=63 time=0.392 ms 64 bytes from 172.16.0.31: icmp_seq=3 ttl=63 time=0.332 ms ...
- 等待大约10分钟,参考查看VPC流日志,查看VPC流日志信息。
您可以在搜索框中输入ECS-02的IP地址(172.16.0.31),快速过滤出ECS-01和ECS-02通信的流日志。
图3 查看日志信息
流日志格式:<version> <project-id> <interface-id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <action> <log-status>
- 流日志示例:1 857dcccea8644ce1abcfc57b6474c5ad 10b6d5df-8abe-4bc5-85ba-f01ce445dacc 192.168.0.66 172.16.0.31 8 0 1 258 25284 1740022820 1740023420 ACCEPT OK
- 流日志含义:VPC流日志版本为1,在2025-02-20 11:40:20~2025-02-20 11:50:20这10分钟时间内,网卡(10b6d5df-8abe-4bc5-85ba-f01ce445dacc)允许(ACCEPT)流过的流量信息。由源端IP地址192.168.0.66通过ICMP协议(protocol=1)向目的端IP地址172.16.0.31传输了258个 echo request(type=8,code=0)数据包,所有数据包的大小为25284byte。
关于流日志数据的详细说明,请参见VPC流日志数据说明。
步骤四:对VPC流日志进行结构化配置及可视化分析
- 执行搜索与分析前,将上报的日志进行结构化配置。
本示例参数设置如表5所示,具体操作请参见云端结构化解析日志,
图4 设置云端结构化解析日志
表5 结构化配置-参数说明 操作序号
操作指导
①
结构化方式选择“分隔符”
②
在文本框中,输入VPC流日志示例:
1 f0512a6441dc47189f5e03a428f48267 ef676eb6-0a0a-4939-85c9-9f8db1d1937c 192.168.0.66 192.168.1.31 8 0 1 585 57330 1739877133 1739877733 ACCEPT OK
③
分隔符选择“空格”
④
单击“智能提取”
⑤
在智能提取的字段列表中,依次将字段名字改为流日志的字段名称:
version、project-id、interface-id、srcaddr、dstaddr、srcport、dstport、protocol、packets、bytes、start、end、action、log-status
- 完成云端结构化解析配置后,可以进行日志分析。
本示例为您介绍以下两种可视化日志分析方法:
- 使用统计图表将日志可视化:统计图表是云日志服务根据SQL查询语法渲染出的结果,包括表格、柱状图、折线图等多种图表类型。
- 在“日志分析”页签内,参考SQL分析语法编写所需的语句,并输入在搜索框中,获取所需的日志。
本示例以分析ECS-01每1小时的数据流量为例。
SELECT TIME_FORMAT(TIME_CEIL(__time, 'PT1H'), 'yyyy-MM-dd HH:mm:ss') as "time", count(1) as pv group by "time"
- 在页面右侧配置区域,设置图表时间和其他信息。
- 在“日志分析”页签内,参考SQL分析语法编写所需的语句,并输入在搜索框中,获取所需的日志。
- 使用仪表盘将日志可视化:仪表盘是云日志服务提供的实时数据分析大盘。
- 将VPC服务接入LTS服务中,具体操作请参见虚拟私有云VPC接入LTS。
- VPC接入成功后,在云日志服务控制台,选择“仪表盘 > VPC仪表盘 > VPC流日志”。
进入VPC仪表盘详情页面,稍等几分钟,可查看流日志数据,更多仪表盘信息请参见VPC仪表盘模板。
图6 VPC流日志仪表盘
- 使用统计图表将日志可视化:统计图表是云日志服务根据SQL查询语法渲染出的结果,包括表格、柱状图、折线图等多种图表类型。
