VPC流量镜像功能可以镜像经过弹性网卡ENI(Elastic Network Interface)且符合筛选条件的报文。例如,您可以复制VPC中ECS实例的网络流量,并将复制后的网络流量转发给指定的弹性网卡或私网传统型负载均衡CLB(Classic Load Balancer)实例。该功能可用于内容检查、威胁监控和问题排查等场景。
支持流量镜像的地域
区域 | 支持流量镜像的地域 |
亚太 | 华东1(杭州)、华东2(上海)、华东5 (南京-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华北6(乌兰察布)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港、华东6(福州-本地地域)、日本(东京)、韩国(首尔)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)、泰国(曼谷)、菲律宾(马尼拉) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚) |
中东 | 沙特(利雅得) |
功能简介
流量镜像概念介绍
筛选条件:包含入方向规则和出方向规则,用来筛选在镜像会话中镜像的网络流量。
入方向流量:弹性网卡ENI接收的流量。
出方向流量:从弹性网卡ENI发出的流量。
镜像源:需要镜像网络流量的弹性网卡实例。
镜像目的:接收镜像的网络流量的弹性网卡实例或私网CLB实例。
镜像会话:通过指定的筛选条件,将网络流量从镜像源复制到镜像目标的过程。
筛选条件说明
您可以在筛选条件中创建入方向规则和出方向规则。创建镜像会话时关联筛选条件,镜像会话创建成功后开启镜像会话,所有符合筛选条件的网络流量都会被镜像。入方向规则和出方向规则采用五元组来收集满足条件的流量。五元组即源网段、源端口、目的网段、目的端口和协议类型五个量组成的集合。
例如,您在筛选条件中设置入方向规则为:源网段192.168.0.0/16、源端口10000、目的网段10.0.0.0/8、目的端口80和协议类型TCP。当网络流量流入ECS实例时,镜像会话将会镜像同时符合以下条件的网络流量:源网段为192.168.0.0/16、源端口为10000、使用TCP协议目的网段为10.0.0.0/8、目的端口为80。
流量镜像目的说明
镜像目的支持的类型:弹性网卡实例或者私网CLB实例。
在同账号同地域下,镜像源和镜像目的可以配置在同一个VPC内,也可以跨VPC配置。不支持跨地域或跨账号的场景。
镜像的网络流量被封装后,需要通过VPC路由表定义的路径转发到指定的流量镜像目标。请确保您的路由表配置正确,以便将流量镜像转发到指定的流量镜像目标。
跨VPC配置的流量镜像场景中,需要确保各个VPC之间的路由可达,即通过配置互通(如VPC对等连接、云企业网等)提前建立好跨VPC的通信通道,以确保网络流量能够成功从镜像源所在的VPC路由到镜像目的所在的VPC。
应用场景
安全场景:网络入侵检测
通过自主研发或者第三方安全软件对流量做全面检查,确保能够捕获所有可能存在的安全漏洞和入侵威胁,以便更快速的检查和响应攻击。
审计场景:金融或政府
对于金融或安全性合规性比较高的业务场景,需要具备流量审计能力。通过流量镜像,您可以透明地将实例流量镜像到统一审计平台进行分析,以满足审计需求。
网络运维场景:网络问题定位
通过流量镜像来检查网络问题,运维人员可以直接查看传输的内容(例如:分析TCP的重传)来排查问题,而不依赖进入虚拟机内部抓取报文。
功能计费
计费说明
流量镜像总费用=实例费+流量处理费
实例费=开启镜像会话的弹性网卡实例个数(个)×镜像会话活跃时长(小时)×实例费单价(美元/个/小时)
弹性网卡实例启用镜像会话后,每个启用了镜像会话的弹性网卡实例按小时付费,不足1小时按1小时计费。弹性网卡实例停用镜像会话后停止收费。
流量处理费=镜像流量总量(GB)×流量处理费单价(美元/GB)
计费项的单价如下表所示:
计费项 | 单价 |
实例费 | 0.014(美元/个/小时) |
流量处理费 | 0.007(美元/GB) |
2025年03月31日前免收流量处理费。
例如,美国(硅谷)可用区B,一个VPC内的5个弹性网卡实例启用了镜像会话,镜像会话的活跃时间为30天,每天24小时,镜像流量总量为20 GB。详细费用计算如下:
实例费=5×30×24×0.014=50.4美元
流量处理费=20×0.007=0.14美元
流量镜像总费用=50.4+0.14=50.54美元
流量镜像的限制
配额
配额名称 | 描述 | 默认限制 | 提升配额 |
trafficmirror_quota_source_num_per_session | 单个镜像会话支持加入的镜像源个数 | 10个 | |
无 | 单账号单地域支持的最大镜像会话数 | 20000条 | 无法提升 |
单个镜像源支持创建的最大镜像会话数 | 3条 | ||
单账号支持加入的镜像目的个数 | 无限制 | ||
单个镜像目的支持的镜像源个数 |
| ||
单个筛选条件支持的筛选规则数 | 10个 | ||
单个筛选条件支持关联的镜像会话数 | 2000条 |
使用限制
账号与地域
可以在同账号、同地域的单VPC或跨VPC下创建镜像源和镜像目的。不支持跨地域或跨账号的场景。
说明镜像目的地址必须是镜像源路由可达的IP地址。
IP版本
目前,流量镜像不支持镜像IPv6的网络流量。
带宽
流量镜像会占用ECS实例的带宽,且不会作额外限速。
说明ECS实例带宽达到最大容量时,会丢弃流量镜像报文,保障优先转发业务流量。
镜像源和镜像目的
一个镜像源的报文只能被镜像一次,且只能发送给一个镜像目的。
一个弹性网卡实例不能既作为镜像源又作为镜像目的。
流量类型
流量镜像不采集网络ACL丢弃流量、安全组丢弃流量、流日志流量、ARP及DHCP流量。
安全规则
报文在从镜像源复制时不受安全组和网络ACL策略的限制,但报文在复制至镜像目的时会受安全组和网络ACL策略的限制。因此,需要在镜像目的所在的安全组和网络ACL中配置以下规则:
安全组规则:入方向允许镜像源弹性网卡的IP访问目的端口为4789的UDP协议报文。关于如何配置安全组规则,请参见创建安全组。
网络ACL规则:入方向允许来自镜像源弹性网卡的IP和所有源端口的UDP协议报文。关于如何配置网络ACL,请参见创建和管理网络ACL。
镜像报文长度与MTU
流量镜像的报文采用标准的VXLAN报文格式封装,更多有关VXLAN协议的信息,请参见RFC 7348。
镜像目的收到的被镜像的报文长度受限于链路最小MTU值和设置的镜像报文长度。
当被镜像的报文长度加上VXLAN头的长度(固定值50)大于链路的最小MTU值时,系统会对镜像报文进行截断。
在阿里云网络内,链路默认支持的MTU值为1500,但部分网络组件例如VPN网关等自身的MTU限制小于1500。详细信息,请参见网络最大传输单元MTU。
如果链路最小MTU值大于1500,例如8500,系统仍然会按照链路长度MTU值=1500进行截断。
当被镜像报文长度大于设置的镜像报文长度时,系统会对镜像报文进行截断。仅部分地域支持设置,详情请参见创建和管理流量镜像。
为防止镜像报文被截断,建议您设置镜像源MTU值比传输镜像目的MTU值小50字节,即不超过1450。
此外,当源ECS实例开启TSO或UFO功能时,分片业务报文的镜像行为可能会有所不同。如需镜像目的接收到所有分片业务报文的镜像报文,建议您关闭TSO和UFO功能(关闭后可能会对实例性能有影响)或使用7代及以上的ECS实例规格族。
说明您可以根据实例规格族主体中的数字来判断实例规格是否为7代,例如ecs.g7se.xlarge。关于实例规格族的更多信息,请参见实例规格选型指导。
报文长度单位为字节。
使用流程
具体操作,请参见创建和管理流量镜像。