火山引擎私有网络使用指南-流量镜像概述

axin 2025-05-06 5人围观 ,发现0个评论 火山引擎云服务云服务器云服务器教程

👉点击这里申请火山引擎VIP帐号,立即体验火山引擎产品>>>

简介

通过流量镜像,您可以按自己设定的筛选条件复制网卡的流量,并将复制的流量私网转发到目标服务进行监控分析。
说明
复制的流量会占用网卡所在云服务器实例的网络带宽,需要网络带宽足够,流量镜像才不会对业务流量造成影响。请谨慎操作。

应用场景

  • 安全审计

复制业务流量并转发到审计平台,对业务流量进行安全审计,为网络安全事件提供线索和证据,及时发现发现潜在的网络安全威胁行为。
  • 入侵检测

当网络入侵恶意使用计算机和网络资源时,流量监控软件可以对流量镜像复制的流量进行分析,及时修改安全漏洞。
  • 问题排查

当网络流量异常时,可以对流量镜像复制的流量进行分析,更高效地定位到网络异常的云服务器。

组成部分

镜像源

镜像源即流量需要被复制的网卡。

筛选条件

筛选条件由筛选规则组成。筛选规则的参数说明如下:
参数
说明
示例
方向
选择复制网卡的出方向流量或入方向流量。
入向
优先级
筛选条件规则的优先级,范围为1~1000。数值越小,优先级越高,即1为最高优先级。同一筛选条件同一方向的优先级唯一。
1
策略
设置允许或拒绝。允许即复制,拒绝则不复制。
允许
协议
选择流量的协议,支持ALL、TCP、UDP、ICMP。
TCP
源地址和端口
设置网卡流量的源地址和端口。
192.168.0.0/12 80
目的地址和端口
设置网卡流量的目的地址的端口。
192.168.0.66/32 80
示例中的入方向规则:192.168.0.0/12内的资源通过80端口以TCP协议访问192.168.0.66的80端口的流量(不含返回数据的流量),会被复制下来转发到镜像目的。

镜像目的

镜像目的是收集流量的网卡或负载均衡。
镜像目的收到的流量镜像数据包,是经过VXLAN协议封装过的,如下图。

VXLAN封装中重要的参数如下:
  • IP-UDP:

    • 源IP:镜像源的主IP地址。

    • 目的IP:镜像目的的主IP地址。

    • 源端口:火山引擎设置,无特殊意义。

    • 目的端口:VXLAN协议固定的4789端口。

  • VXLAN header中的VNI:镜像会话的ID号,由用户创建镜像会话时指定,若未指定,则随机分配。详情请参见 创建镜像会话 。

更多有关VXLAN协议的信息,请参见 RFC 7348 。

镜像会话

镜像会话关联镜像源、镜像目的、筛选条件,使从镜像源复制的流量私网转发到镜像目的,是流量镜像的载体。

流量路径

流量路径如下图:

对镜像源网卡的业务流量数据进行筛选后,复制满足筛选条件的流量并进行VXLAN封装,私网转发给镜像目的网卡。通过镜像目的的服务器部署的流量监控软件,对数据包解除VXLAN封装,得到原始的流量数据,并对该数据进行监控分析。
说明
云服务器部署的流量监控软件需要支持对数据包进行解除VXLAN封装。

规则匹配说明

当镜像源有多个镜像会话、多条筛选规则时,以入方向流量为例(出方向同理),会按以下步骤进行匹配:

  1. 所有的镜像会话按优先级从高到低排序。

  1. 镜像会话内的入向筛选规则按优先级从高到低排序。

  1. 网卡的流量按照策略、协议、源地址及端口、目的地址及端口从前到后依次匹配规则,若成功匹配某条规则,则会根据规则复制流量或不复制流量,结束匹配操作;若流量匹配不到筛选规则,则不复制该网卡流量。

使用限制

功能限制

镜像源

  • 镜像源必须是云服务器的主网卡或已挂载至云服务器的辅助网卡。

  • 仅支持复制镜像源的IPv4流量。

  • 镜像源的安全组和网络ACL需要放通UDP、4789端口的出方向流量。

  • 镜像源的路由条目需要支持镜像源私网访问镜像目的。

  • 镜像源不会被镜像的流量如下:

    • 网络ACL、安全组拒绝的流量、流日志的流量。

    • 网卡与DNS服务器的流量。

    • ARP流量。

    • DHCP流量。

    • NTP流量。

    • 实例元数据的流量。

  • 复制的流量会占用镜像源网卡所在云服务器实例的网络带宽。

  • 仅如下规格云服务器的主网卡和辅助网卡支持作为镜像源:

镜像目的

  • 镜像目的必须是私有网络内的网卡(云服务器的主网卡或已挂载的辅助网卡)或者负载均衡,且与镜像源必须所属同一账号。

  • 镜像目的的安全组和网络ACL需要放通UDP、4789端口的入方向流量。

  • 当镜像目的为负载均衡时,需要配置UDP监听器,放通4789端口。

  • 镜像目的对应的云服务器需要安装支持解除VXLAN封装的流量监控软件,才能对流量镜像的流量监控分析。

  • 镜像目的不能和镜像源是同一张网卡,也不支持镜像目的作为另外一条镜像会话的镜像源。

其他

从镜像源复制的流量报文会进行VXLAN封装,为了保证报文不被截断,建议您遵从如下关系设置网卡的MTU值:
镜像源的MTU值 ≤ 镜像会话设置的数据包大小 ≤ 镜像目的的MTU值 - 50,且镜像会话设置的数据包大小 ≤ 1450。操作请参见 修改网卡MTU


配额限制

镜像会话
限制项
最大值
是否支持调整
单账号单地域支持创建的镜像会话数量
20000
单条镜像会话支持关联的镜像源数量
1个
单条镜像会话支持关联的镜像目的数量
1个
单条镜像会话支持关联的筛选条件数量
1个
筛选条件
限制项
最大值
是否支持调整
单账号单地域支持创建的筛选条件数量
10000
单个筛选条件支持关联的镜像会话数量
2000
单个筛选条件单个方向支持添加的筛选规则数量
10

镜像源

限制项
最大值
是否支持调整
单个镜像源支持关联的镜像会话数量
3
镜像目的
限制项
最大值
是否支持调整
单账号单地域支持创建的镜像目的数量
10000
单个镜像目的支持关联的镜像会话数量
10
单个镜像目的支持关联的镜像源数量
100

配置流程

配置流程如下图所示:

  1. 创建镜像目的

  1. 创建筛选条件

  1. 创建镜像会话


不容错过
Powered By TOPYUN 云产品资讯