VPC流量鏡像功能可以鏡像經過彈性網卡ENI(Elastic Network Interface)且符合篩選條件的報文。例如,您可以複製VPC中ECS執行個體的網路流量,並將複製後的網路流量轉寄給指定的彈性網卡或私網傳統型負載平衡CLB(Classic Load Balancer)執行個體。該功能可用於內容檢查、威脅監控和問題排查等情境。
支援流量鏡像的地區
地區 | 支援流量鏡像的地區 |
亞太地區 | 華東1(杭州)、華東2(上海)、華東5 (南京-本地地區)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華北6(烏蘭察布)、華南1(深圳)、華南2(河源)、華南3(廣州)、西南1(成都)、中國香港、華東6(福州-本地地區)、日本(東京)、韓國(首爾)、新加坡、澳大利亞(雪梨)、馬來西亞(吉隆坡)、印尼(雅加達)、泰國(曼穀)、菲律賓(馬尼拉) |
歐美地區 | 德國(法蘭克福)、英國(倫敦)、美國(矽谷)、美國(維吉尼亞) |
中東 | 沙特(利雅得) |
功能簡介
流量鏡像概念介紹
篩選條件:包含入方向規則和出方向規則,用來篩選在鏡像會話中鏡像的網路流量。
入方向流量:彈性網卡ENI接收的流量。
出方向流量:從彈性網卡ENI發出的流量。
鏡像源:需要鏡像網路流量的彈性網卡執行個體。
鏡像目的:接收鏡像的網路流量的彈性網卡執行個體或私網CLB執行個體。
鏡像會話:通過指定的篩選條件,將網路流量從鏡像源複製到鏡像目標的過程。
篩選條件說明
您可以在篩選條件中建立入方向規則和出方向規則。建立鏡像會話時關聯篩選條件,鏡像會話建立成功後開啟鏡像會話,所有符合篩選條件的網路流量都會被鏡像。入方向規則和出方向規則採用五元組來收集滿足條件的流量。五元組即源網段、源連接埠、目的網段、目的連接埠和協議類型五個量組成的集合。
例如,您在篩選條件中設定入方向規則為:源網段192.168.0.0/16、源連接埠10000、目的網段10.0.0.0/8、目的連接埠80和協議類型TCP。當網路流量流入ECS執行個體時,鏡像會話將會鏡像同時符合以下條件的網路流量:源網段為192.168.0.0/16、源連接埠為10000、使用TCP協議目的網段為10.0.0.0/8、目的連接埠為80。
流量鏡像目的說明
鏡像目的支援的類型:彈性網卡執行個體或者私網CLB執行個體。
在同帳號同地區下,鏡像源和鏡像目的可以配置在同一個VPC內,也可以跨VPC配置。不支援跨地區或跨帳號的情境。
鏡像的網路流量被封裝後,需要通過VPC路由表定義的路徑轉寄到指定的流量鏡像目標。請確保您的路由表配置正確,以便將流量鏡像轉寄到指定的流量鏡像目標。
跨VPC配置的流量鏡像情境中,需要確保各個VPC之間的路由可達,即通過配置互連(如VPC對等串連、雲企業網等)提前建立好跨VPC的通訊通道,以確保網路流量能夠成功從鏡像源所在的VPC路由到鏡像目的所在的VPC。
應用情境
安全情境:網路入侵檢測
通過自主研發或者第三方安全軟體對流量做全面檢查,確保能夠捕獲所有可能存在的安全性漏洞和入侵威脅,以便更快速的檢查和響應攻擊。
審計情境:金融或政府
對於金融或安全性合規性比較高的業務情境,需要具備流量審計能力。通過流量鏡像,您可以透明地將執行個體流量鏡像到統一審計平台進行分析,以滿足審計需求。
網路營運情境:網路問題定位
通過流量鏡像來檢查網路問題,營運人員可以直接查看傳輸的內容(例如:分析TCP的重傳)來排查問題,而不依賴進入虛擬機器內部抓取報文。
功能計費
計費說明
流量鏡像總費用=執行個體費+流量處理費
執行個體費=開啟鏡像會話的彈性網卡執行個體個數(個)×鏡像會話活躍時間長度(小時)×執行個體費單價(美元/個/小時)
彈性網卡執行個體啟用鏡像會話後,每個啟用了鏡像會話的彈性網卡執行個體按小時付費,不足1小時按1小時計費。彈性網卡執行個體停用鏡像會話後停止收費。
流量處理費=鏡像流量總量(GB)×流量處理費單價(美元/GB)
計費項目的單價如下表所示:
計費項目 | 單價 |
執行個體費 | 0.014(美元/個/小時) |
流量處理費 | 0.007(美元/GB) |
2025年03月31日前免收流量處理費。
例如,美國(矽谷)可用性區域B,一個VPC內的5個彈性網卡執行個體啟用了鏡像會話,鏡像會話的活躍時間為30天,每天24小時,鏡像流量總量為20 GB。詳細費用計算如下:
執行個體費=5×30×24×0.014=50.4美元
流量處理費=20×0.007=0.14美元
流量鏡像總費用=50.4+0.14=50.54美元
流量鏡像的限制
配額
配額名稱 | 描述 | 預設限制 | 提升配額 |
trafficmirror_quota_source_num_per_session | 單個鏡像會話支援加入的鏡像源個數 | 10個 | |
無 | 單帳號單地區支援的最大鏡像會話數 | 20000條 | 無法提升 |
單個鏡像源支援建立的最大鏡像會話數 | 3條 | ||
單帳號支援加入的鏡像目的個數 | 無限制 | ||
單個鏡像目的支援的鏡像源個數 |
| ||
單個篩選條件支援的篩選規則數 | 10個 | ||
單個篩選條件支援關聯的鏡像會話數 | 2000條 | ||
不支援流量鏡像的ECS執行個體規格 | ecs.ga1、ecs.i1、ecs.xn4、ecs.i1-c5d1、ecs.t1、ecs.smt | 無 |
使用限制
帳號與地區
可以在同帳號、同地區的單VPC或跨VPC下建立鏡像源和鏡像目的。不支援跨地區或跨帳號的情境。
說明鏡像目的地址必須是鏡像源路由可達的IP地址。
IP版本
目前,流量鏡像不支援鏡像IPv6的網路流量。
頻寬
流量鏡像會佔用ECS執行個體的頻寬,且不會作額外限速。
說明ECS執行個體頻寬達到最大容量時,會丟棄流量鏡像報文,保障優先轉寄業務流量。
鏡像源和鏡像目的
一個鏡像源的報文只能被鏡像一次,且只能發送給一個鏡像目的。
一個彈性網卡執行個體不能既作為鏡像源又作為鏡像目的。
流量類型
流量鏡像不採集網路ACL丟棄流量、安全性群組丟棄流量、流日誌流量、ARP及DHCP流量。
安全規則
報文在從鏡像源複製時不受安全性群組和網路ACL策略的限制,但報文在複製至鏡像目的時會受安全性群組和網路ACL策略的限制。因此,需要在鏡像目的所在的安全性群組和網路ACL中配置以下規則:
安全性群組規則:入方向允許鏡像源彈性網卡的IP訪問目的連接埠為4789的UDP協議報文。關於如何配置安全性群組規則,請參見建立安全性群組。
網路ACL規則:入方向允許來自鏡像源彈性網卡的IP和所有源連接埠的UDP協議報文。關於如何配置網路ACL,請參見建立和管理網路ACL。
鏡像報文長度與MTU
流量鏡像的報文採用標準的VXLAN報文格式封裝,更多有關VXLAN協議的資訊,請參見RFC 7348。
鏡像目的收到的被鏡像的報文長度受限於鏈路最小MTU值和設定的鏡像報文長度。
當被鏡像的報文長度加上VXLAN頭的長度(固定值50)大於鏈路的最小MTU值時,系統會對鏡像報文進行截斷。
在阿里雲網路內,鏈路預設支援的MTU值為1500,但部分網路組件例如VPN網關等自身的MTU限制小於1500。詳細資料,請參見網路傳輸單元最大值MTU。
如果鏈路最小MTU值大於1500,例如8500,系統仍然會按照鏈路長度MTU值=1500進行截斷。
當被鏡像報文長度大於設定的鏡像報文長度時,系統會對鏡像報文進行截斷。僅部分地區支援設定,詳情請參見建立和管理流量鏡像。
為防止鏡像報文被截斷,建議您設定鏡像源MTU值比傳輸鏡像目的MTU值小50位元組,即不超過1450。
此外,當源ECS執行個體開啟TSO或UFO功能時,分區業務報文的鏡像行為可能會有所不同。如需鏡像目的接收到所有分區業務報文的鏡像報文,建議您關閉TSO和UFO功能(關閉後可能會對執行個體效能有影響)或使用7代及以上的ECS執行個體規格類型系列。
說明您可以根據執行個體規格類型系列主體中的數字來判斷執行個體規格是否為7代,例如ecs.g7se.xlarge。關於執行個體規格類型系列的更多資訊,請參見ECS選型最佳實務。
報文長度單位為位元組。
使用流程
具體操作,請參見建立和管理流量鏡像。