文档首页/ 虚拟私有云 VPC/ 用户指南/ VPC流日志/ VPC流日志配置示例/ 查看不同VPC之间的互访流量(ER连通VPC)
更新时间:2025-04-23 GMT+08:00
查看PDF
分享

查看不同VPC之间的互访流量(ER连通VPC)

方案架构

本示例中,通过企业路由器ER-X连通VPC-A和VPC-B的网络通信。运维工程师需要查看两个VPC之间的通信流量。则需要创建企业路由器内VPC-A连接的流日志,并采集流日志进行分析定位。

图1 查看不同VPC之间的互访流量

约束与限制

关于流日志的使用限制,具体请查看企业路由器流日志约束与限制

资源规划说明

本示例中,虚拟私有云VPC和子网、弹性云服务器ECS、企业路由器ER和VPC流日志等资源只要位于同一个区域内即可,可用区可以任意选择,无需保持一致。

以下资源规划详情仅为示例,您可以根据需要自行修改。

表1 资源规划总体说明

资源类型

资源数量

说明

虚拟私有云VPC和子网

VPC:2

子网:2
  • VPC名称:请根据实际情况设置,本示例为VPC-A和VPC-B。
  • IPv4网段:请根据实际情况设置,本示例VPC-A为192.168.0.0/16,VPC-B为172.16.0.0/16。
  • 子网名称:请根据实际情况设置,本示例分别为Subnet-A01和Subnet-B01。
  • 子网IPv4网段:请根据实际情况设置,本示例Subnet-A01为192.168.0.0/24,Subnet-B01为172.16.0.0/24。
  • 路由表:创建VPC时系统会自动创建一个默认路由表,本示例中VPC-A的默认路由表为rtb-VPC-A,VPC-B的默认路由表为rtb-VPC-B。

弹性云服务器ECS

2
本示例中,共需要2个ECS,配置说明如下:
  • 名称:根据实际情况设置,本示例分别为ECS-01、ECS-02。
  • 实例规格类型:请根据实际情况设置,确保规格可以满足业务需求即可。
  • 镜像:请根据实际情况设置,本示例为公共镜像Huawei Cloud EulerOS 2.0 标准版 64位。
  • 系统盘:通用型SSD盘,40GB。
  • 数据盘:本示例未选购数据盘,请您根据实际业务需求选购数据盘。
  • 网络:
    • 虚拟私有云:选择您的虚拟私有云,本示例ECS-01为VPC-A,ECS-02为VPC-B。
    • 子网:选择子网,本示例ECS-01子网为Subnet-A01,ECS-02子网为Subnet-B01。
  • 安全组:本示例中,2个ECS属于同一个安全组Sg-X,需要确保表2中的规则均已正确添加即可。

    如果2个ECS属于不同的安全组,则除了分别在不同安全组配置表2中的规则外,还需要添加以下规则:

    比如ECS-01属于Sg-X,ECS-02属于Sg-A,则需要在Sg-X和Sg-A中额外添加表3中的规则,允许ECS-01和ECS-02流量互通。

  • 弹性公网IP:选择“暂不购买”。
  • 私有IP地址:ECS-01为192.168.0.66,ECS-02为172.16.0.31。

企业路由器

1
  • 名称:请根据实际情况填写,本示例为ER-X。
  • ASN:请根据网络规划填写,本示例企业路由器的AS号为64513。
  • 默认路由表关联:开启
  • 默认路由表传播:开启
  • 自动接受共享连接:请根据实际情况选择,本示例选择“开启”。
  • 连接,本示例需要在企业路由器中添加2个VPC连接:
    • VPC-A连接:er-attach-vpc-A
    • VPC-B连接:er-attach-vpc-B

ER流日志

1
  • 名称:请根据实际情况设置,本示例为flowlog-ER。
  • 资源类型:本示例为虚拟私有云(VPC)。
  • 选择资源:请根据实际情况选择,本示例选择VPC-A对应的连接er-attach-vpc-A。
  • 日志组:请选择已有或者新创建日志组,以下为本示例详细设置。
    • 日志组名称:请根据实际情况设置,本示例为lts-group-ER。
    • 日志存储时间(天):请根据实际情况设置,本示例为30。
  • 日志流:请选择已有或者新创建日志流,以下为本示例详细设置。
    • 日志组名称:选择当前的日志组,本示例为lts-group-ER。
    • 日志流名称:请根据实际情况设置,本示例为lts-topic-ER。
    • 日志存储:建议开启,以便用于日志搜索分析。
    • 日志存储时间(天):请根据实际情况设置,本示例为30。
表2 安全组Sg-X规则说明

方向

策略

类型

协议端口

源地址/目的地址

描述

入方向

允许

IPv4

TCP: 22

源地址:0.0.0.0/0

放通安全组内ECS的SSH(22)端口,用于远程登录Linux ECS。

入方向

允许

IPv4

TCP: 3389

源地址:0.0.0.0/0

放通安全组内ECS的RDP(3389)端口,用于远程登录Windows ECS。

入方向

允许

IPv4

全部

源地址:当前安全组Sg-X

针对IPv4,用于安全组内ECS之间网络互通。

入方向

允许

IPv6

全部

源地址:当前安全组Sg-X

针对IPv6,用于安全组内ECS之间网络互通。

出方向

允许

IPv4

全部

目的地址:0.0.0.0/0

针对IPv4,用于安全组内ECS访问外部,允许流量从安全组内ECS流出。

出方向

允许

IPv6

全部

目的地址:::/0

针对IPv6,用于安全组内ECS访问外部,允许流量从安全组内ECS流出。

本示例中,入方向源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器,如果将22或3389端口暴露到公网,可能存在网络安全风险,建议您将源IP设置为已知的IP地址,比如设置为您的本地PC地址。

表3 安全组Sg-X和Sg-A规则说明

安全组

方向

策略

类型

协议端口

源地址

描述

Sg-X

入方向

允许

IPv4

全部

安全组:Sg-A

针对IPv4,允许来自Sg-A内ECS的流量访问Sg-X内的ECS。

Sg-A

入方向

允许

IPv4

全部

安全组:Sg-X

针对IPv4,允许来自Sg-X内ECS的流量访问Sg-A内的ECS。

操作流程

查看不同VPC之间的互访流量信息,流程如图2所示。

图2 查看不同VPC之间的互访流量(ER连通VPC)

步骤一:创建云服务资源

  1. 创建2个VPC和2个子网。

    具体方法请参见创建虚拟私有云和子网

  2. 创建2个ECS。

    具体方法请参见自定义购买ECS

  3. 创建1个ER。

    创建企业路由器,具体方法请参见创建企业路由器

  4. 将2个VPC分别接入ER中,即在ER中添加VPC连接。

    创建VPC连接时开启“配置连接侧路由”选项,则不用手动在VPC路由表中配置静态路由,VPC连接添加完成后即可实现两个VPC网络互通。

    添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接

    通过ER构建组网的网络规划和具体方法,请参见通过企业路由器实现同区域VPC互通

步骤二:创建ER流日志

  1. 在云日志服务控制台中,创建日志组和日志流。

    创建日志组,请参见创建日志组

    创建日志流,请参见创建日志流

  2. 创建1个ER流日志。

    具体方法请参见创建流日志

步骤三:查看流日志信息

本文中采集VPC-A对应的连接er-attach-vpc-A的流日志信息。

  1. 远程登录VPC-A的ECS-01。

    ECS有多种登录方法,具体请参见登录弹性云服务器

  2. 执行以下命令,采用ECS-01(VPC-A) ping ECS-02(VPC-B)的方法来产生流量,从而采集流日志。

    ping ECS-02的私有IP地址

    命令示例:

    ping 172.16.0.31

    回显类似如下信息,您需要等待大约10分钟,才能查看流日志记录详情。采集流日志期间请勿中断ping命令。 
    [root@ecs-01 ~]# ping 172.16.0.31
PING 172.16.0.31 (172.16.0.31) 56(84) bytes of data.
64 bytes from 172.16.0.31: icmp_seq=1 ttl=63 time=0.510 ms
64 bytes from 172.16.0.31: icmp_seq=2 ttl=63 time=0.392 ms
64 bytes from 172.16.0.31: icmp_seq=3 ttl=63 time=0.332 ms
...
  3. 等待大约10分钟,参考查看流日志信息,查看流日志信息。

    您可以在搜索框中输入ECS-02的IP地址(172.16.0.31),快速过滤出ECS-01和ECS-02通信的流日志。

    图3 查看日志信息
    ER流日志格式: 
    <version> <project_id> <resource_id> <instance_id> <srcaddr> <dstaddr> <srcport> <dstport> <protocol> <packets> <bytes> <start> <end> <direct>
    • 流日志示例:1 f0512a6441dc47189f5e03a428f48267 37befd9d-58a8-4a5f-9cb1-13a3fe563c20 bdc50d41-a33a-4bf5-9391-4957369d17b6 192.168.0.66 172.16.0.31 8 0 1 586 57428 1742872080 1742872680 ingress
    • 流日志含义:ER流日志版本为1,在2025-03-25 11:08:00~2025-03-25 11:18:00这10分钟时间内,VPC-A连接(ID为37befd9d-58a8-4a5f-9cb1-13a3fe563c20)进入(ingress)ER实例(bdc50d41-a33a-4bf5-9391-4957369d17b6)的流量信息。由源端IP地址192.168.0.66通过ICMP协议(protocol=1)向目的端IP地址172.16.0.31传输了586个 echo request(type=8,code=0)数据包,所有数据包的大小为57428byte。

步骤四:对ER流日志进行结构化配置及可视化分析

云日志服务支持对采集成功的日志数据进行搜索与分析,并可视化展示日志分析结果。
  1. 执行搜索与分析前,将上报的日志进行结构化配置。

    本示例参数设置如表4所示,具体操作请参见云端结构化解析日志

    图4 设置云端结构化解析日志
    表4 结构化配置-参数说明

    操作序号

    操作指导

    结构化方式选择“结构化模板”

    在系统模板列表中,选择模板名称为“ER企业路由器”的模板
  2. 完成云端结构化解析配置后,可以进行日志分析。
    本示例为您介绍以下两种可视化日志分析方法:
    • 使用统计图表将日志可视化:统计图表是云日志服务根据SQL查询语法渲染出的结果,包括表格、柱状图、折线图等多种图表类型。
      1. 在“日志分析”页签内,参考SQL分析语法编写所需的语句,并输入在搜索框中,获取所需的日志。

        本示例以分析ECS-01每1小时的数据流量为例。

        SELECT TIME_FORMAT(TIME_CEIL(__time, 'PT1H'), 'yyyy-MM-dd HH:mm:ss') as "time", count(1) as pv group by "time"
      2. 在页面右侧配置区域,设置图表时间和其他信息。

        本示例查看1天时间范围内,每小时的流量数据,更多统计图表信息请参见统计图表概述

        图5 流量条形图
    • 使用仪表盘将日志可视化:仪表盘是云日志服务提供的实时数据分析大盘。
      1. ER流日志创建完成后,在云日志服务控制台,选择“仪表盘 > ER仪表盘模板 > ER流量日志中心”。

        进入ER仪表盘详情页面,稍等几分钟,可查看流日志数据。本示例选择实例和连接后,查看流日志信息。更多仪表盘信息请参见ER仪表盘模板

        图6 ER流日志仪表盘
父主题: VPC流日志配置示例

相关文档