日本熟妇hd丰满老熟妇,中文字幕一区二区三区在线不卡 ,亚洲成片在线观看,免费女同在线一区二区

AI 助理
備案控制臺

流量鏡像

更新時間: 2024-11-29 14:52:12

VPC流量鏡像功能可以鏡像經過彈性網卡ENI(Elastic Network Interface)且符合篩選條件的報文。例如,您可以復制VPC中ECS實例的網絡流量,并將復制后的網絡流量轉發給指定的彈性網卡或私網傳統型負載均衡CLB(Classic Load Balancer)實例。該功能可用于內容檢查、威脅監控和問題排查等場景。

image

支持流量鏡像的地域

公有云支持的地域

區域

支持流量鏡像的地域

亞太

華東1(杭州)、華東2(上海)、華東5 (南京-本地地域、華北1(青島)、華北2(北京)、華北3(張家口)華北5(呼和浩特)、華北6(烏蘭察布)華南1(深圳)、華南2(河源)、華南3(廣州)西南1(成都)、中國香港、華東6(福州-本地地域)、日本(東京)韓國(首爾)新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達)泰國(曼谷)、菲律賓(馬尼拉)

歐洲與美洲

德國(法蘭克福)、英國(倫敦)、美國(硅谷)、美國(弗吉尼亞)

中東

沙特(利雅得)

金融云支持的地域

區域

支持流量鏡像的地域

亞太

華北2 金融云(邀測)、華東1 金融云、華東2 金融云

政務云支持的地域

區域

支持流量鏡像的地域

亞太

華北2 阿里政務云1

功能簡介

流量鏡像概念介紹

  • 篩選條件:包含入方向規則和出方向規則,用來篩選在鏡像會話中鏡像的網絡流量。

    • 入方向流量:彈性網卡ENI接收的流量。

    • 出方向流量:從彈性網卡ENI發出的流量。

  • 鏡像源:需要鏡像網絡流量的彈性網卡實例。

  • 鏡像目的:接收鏡像的網絡流量的彈性網卡實例或私網CLB實例。

  • 鏡像會話:通過指定的篩選條件,將網絡流量從鏡像源復制到鏡像目標的過程。

篩選條件說明

您可以在篩選條件中創建入方向規則和出方向規則。創建鏡像會話時關聯篩選條件,鏡像會話創建成功后開啟鏡像會話,所有符合篩選條件的網絡流量都會被鏡像。入方向規則和出方向規則采用五元組來收集滿足條件的流量。五元組即源網段、源端口、目的網段、目的端口和協議類型五個量組成的集合。

例如,您在篩選條件中設置入方向規則為:源網段192.168.0.0/16、源端口10000、目的網段10.0.0.0/8、目的端口80和協議類型TCP。當網絡流量流入ECS實例時,鏡像會話將會鏡像同時符合以下條件的網絡流量:源網段為192.168.0.0/16、源端口為10000、使用TCP協議目的網段為10.0.0.0/8、目的端口為80。

流量鏡像目的說明

  • 鏡像目的支持的類型:彈性網卡實例或者私網CLB實例。

  • 在同賬號同地域下,鏡像源和鏡像目的可以配置在同一個VPC內,也可以跨VPC配置。不支持跨地域或跨賬號的場景。

  • 鏡像的網絡流量被封裝后,需要通過VPC路由表定義的路徑轉發到指定的流量鏡像目標。請確保您的路由表配置正確,以便將流量鏡像轉發到指定的流量鏡像目標。

  • 跨VPC配置的流量鏡像場景中,需要確保各個VPC之間的路由可達,即通過配置互通(如VPC對等連接、云企業網等)提前建立好跨VPC的通信通道,以確保網絡流量能夠成功從鏡像源所在的VPC路由到鏡像目的所在的VPC。

應用場景

  • 安全場景:網絡入侵檢測

    通過自主研發或者第三方安全軟件對流量做全面檢查,確保能夠捕獲所有可能存在的安全漏洞和入侵威脅,以便更快速的檢查和響應攻擊。

  • 審計場景:金融或政府

    對于金融或安全性合規性比較高的業務場景,需要具備流量審計能力。通過流量鏡像,您可以透明地將實例流量鏡像到統一審計平臺進行分析,以滿足審計需求。

  • 網絡運維場景:網絡問題定位

    通過流量鏡像來檢查網絡問題,運維人員可以直接查看傳輸的內容(例如:分析TCP的重傳)來排查問題,而不依賴進入虛擬機內部抓取報文。

功能計費

計費說明

流量鏡像總費用=實例費+流量處理費

  • 實例費=開啟鏡像會話的彈性網卡實例個數(個)×鏡像會話活躍時長(小時)×實例費單價(元/個/小時)

    彈性網卡實例啟用鏡像會話后,每個啟用了鏡像會話的彈性網卡實例按小時付費,不足1小時按1小時計費。彈性網卡實例停用鏡像會話后停止收費。

  • 流量處理費=鏡像流量總量(GB)×流量處理費單價(元/GB)

計費項的單價如下表所示:

計費項

單價

實例費

0.1(元/個/小時)

流量處理費

0.05(元/GB)

說明

2025年03月31日前免收流量處理費。

例如,美國(硅谷)可用區B,一個VPC內的5個彈性網卡實例啟用了鏡像會話,鏡像會話的活躍時間為30天,每天24小時,鏡像流量總量為20 GB。詳細費用計算如下:

  • 實例費=5×30×24×0.1=360元

  • 流量處理費=20×0.05=1元

  • 流量鏡像總費用=360+1=361元

欠費說明

  • 欠費后如果在延停權益額度內,流量鏡像功能不會受到停服影響。

    說明

    阿里云提供延期免停權益,即當按量付費的資源發生欠費后,提供一定額度或時長繼續使用云服務的權益,延停期間正常計費。具體使用說明和規則,請參見延期免停權益

  • 欠費后如果超出了延停權益額度,流量鏡像功能停止工作,已開啟的鏡像會話自動關閉。

  • 如果您在流量鏡像功能停止24小時內充值并補足欠費后,服務會自動開啟,您可以繼續使用流量鏡像服務,被停止的鏡像會話會自動開啟。

  • 如果您在流量鏡像功能停止24小時后未及時充值,鏡像會話實例會被刪除。在實例刪除前一天會發送短信或郵件提醒,實例被刪除后相關配置和數據將被刪除,不可恢復。

  • 欠費15天內,流量鏡像功能仍可正常提供服務。

  • 如果欠費達到15天仍未繳清賬單,流量鏡像功能將進入暫停服務狀態。此種狀態下,您不能對流量鏡像功能進行任何操作,已開啟的鏡像會話停止工作狀態。

  • 如果進入暫停服務狀態達到15天仍未繳清賬單,鏡像會話實例會被自動刪除。在實例刪除前一天會發送郵件提醒,實例被刪除后相關配置和數據將被刪除,不可恢復。

流量鏡像的限制

配額

配額名稱

描述

默認限制

提升配額

trafficmirror_quota_source_num_per_session

單個鏡像會話支持加入的鏡像源個數

10個

您可以通過以下任意方式自助提升配額:

單賬號單地域支持的最大鏡像會話數

20000條

無法提升

單個鏡像源支持創建的最大鏡像會話數

3條

單賬號支持加入的鏡像目的個數

無限制

單個鏡像目的支持的鏡像源個數

  • 鏡像目的為私網傳統型負載均衡CLB時,最多可以被200個鏡像源使用。

  • 鏡像目的為彈性網卡時,如果彈性網卡綁定的是以下規格的ECS實例,則鏡像目的綁定的ECS實例最多被100個鏡像源使用。如果是其他規格,最多可以被10個鏡像源使用。

    ECS實例規格

    ecs.ebmc7.32xlarge、ecs.ebmg7.32xlarge、ecs.ebmr7.32xlarge、ecs.ebmhfg7.48xlarge、ecs.ebmhfc7.48xlarge、ecs.ebmhfr7.48xlarge、ecs.ebmc7a.64xlarge、ecs.ebmg7a.64xlarge、ecs.ebmg7se.32xlarge、ecs.ebmg6a.64xlarge、ecs.ebmg6e.26xlarge、ecs.ebmc6a.64xlarge、ecs.ebmc6e.26xlarge、ecs.ebmr7a.64xlarge、ecs.ebmr6a.64xlarge、ecs.ebmr6e.26xlarge、ecs.c8i.48xlarge、ecs.g8i.48xlarge、ecs.c7nex.32xlarge、ecs.g7nex.32xlarge、

    ecs.g7ne.24xlarge、ecs.c7.32xlarge、ecs.g7.32xlarge、ecs.r7.32xlarge、ecs.r6e.26xlarge、

    ecs.g7t.32xlarge、ecs.g6t.26xlarge、ecs.g6e.26xlarge、ecs.c7t.32xlarge、ecs.c6t.26xlarge、ecs.c6e.26xlarge、ecs.g5ne.18xlarge、ecs.r7t.32xlarge

單個篩選條件支持的篩選規則數

10個

單個篩選條件支持關聯的鏡像會話數

2000條

使用限制

  • 賬號與地域

    可以在同賬號、同地域的單VPC或跨VPC下創建鏡像源和鏡像目的。不支持跨地域或跨賬號的場景。

    說明

    鏡像目的地址必須是鏡像源路由可達的IP地址。

  • IP版本

    目前,流量鏡像不支持鏡像IPv6的網絡流量。

  • 帶寬

    流量鏡像會占用ECS實例的帶寬,且不會作額外限速。

    說明

    ECS實例帶寬達到最大容量時,會丟棄流量鏡像報文,保障優先轉發業務流量。

  • 鏡像源和鏡像目的

    • 一個鏡像源的報文只能被鏡像一次,且只能發送給一個鏡像目的。

    • 一個彈性網卡實例不能既作為鏡像源又作為鏡像目的。

  • 流量類型

    流量鏡像不采集網絡ACL丟棄流量、安全組丟棄流量、流日志流量、ARP及DHCP流量。

  • 安全規則

    報文在從鏡像源復制時不受安全組和網絡ACL策略的限制,但報文在復制至鏡像目的時會受安全組和網絡ACL策略的限制。因此,需要在鏡像目的所在的安全組和網絡ACL中配置以下規則:

    • 安全組規則:入方向允許鏡像源彈性網卡的IP訪問目的端口為4789的UDP協議報文。關于如何配置安全組規則,請參見創建安全組。

    • 網絡ACL規則:入方向允許來自鏡像源彈性網卡的IP和所有源端口的UDP協議報文。關于如何配置網絡ACL,請參見創建和管理網絡ACL。

  • 鏡像報文長度與MTU

    流量鏡像的報文采用標準的VXLAN報文格式封裝,更多有關VXLAN協議的信息,請參見RFC 7348。

    鏡像目的收到的被鏡像的報文長度受限于鏈路最小MTU值和設置的鏡像報文長度。

    • 當被鏡像的報文長度加上VXLAN頭的長度(固定值50)大于鏈路的最小MTU值時,系統會對鏡像報文進行截斷。

      • 在阿里云網絡內,鏈路默認支持的MTU值為1500,但部分網絡組件例如VPN網關等自身的MTU限制小于1500。詳細信息,請參見網絡最大傳輸單元MTU

      • 如果鏈路最小MTU值大于1500,例如8500,系統仍然會按照鏈路長度MTU值=1500進行截斷。

    • 當被鏡像報文長度大于設置的鏡像報文長度時,系統會對鏡像報文進行截斷。僅部分地域支持設置,詳情請參見創建和管理流量鏡像。

    • 為防止鏡像報文被截斷,建議您設置鏡像源MTU值比傳輸鏡像目的MTU值小50字節,即不超過1450。

    此外,當源ECS實例開啟TSO或UFO功能時,分片業務報文的鏡像行為可能會有所不同。如需鏡像目的接收到所有分片業務報文的鏡像報文,建議您關閉TSO和UFO功能(關閉后可能會對實例性能有影響)或使用7代及以上的ECS實例規格族。

    單擊查看分片業務報文的鏡像行為示例

    源ECS實例規格(自身MTU值=1500)

    - 7代及以上

    - 7代及以下且關閉TSO和UFO功能

    7代及以下且開啟TSO或UFO功能

    鏡像行為

    先對完整業務報文分片,再分別對每個分片報文做鏡像

    先對完整業務報文做鏡像,再對業務報文分片

    業務報文大小

    2000

    鏈路最小MTU值

    1500

    1500

    1500

    1500

    鏡像報文長度

    1400

    1500

    1400

    1500

    鏡像目的接收到的鏡像報文數量

    2

    2

    1

    1

    鏡像目的接收到的鏡像報文大小

    - 分片1:1450=1400(實際被鏡像的業務報文長度)+50(VXLAN頭的長度)

    - 分片2:550=500(實際被鏡像的業務報文長度)+50(VXLAN頭的長度)

    - 分片1:1500=1450(實際被鏡像的業務報文長度)+50(VXLAN頭的長度)

    - 分片2:550=500(實際被鏡像的業務報文長度)+50(VXLAN頭的長度)

    1450=1400(實際被鏡像的業務報文長度)+50(VXLAN頭的長度)

    1500=1450(實際被鏡像的業務報文長度)+50(VXLAN頭的長度)

    說明

    • 您可以根據實例規格族主體中的數字來判斷實例規格是否為7代,例如ecs.g7se.xlarge。關于實例規格族的更多信息,請參見實例規格選型指導。

    • 報文長度單位為字節。

使用流程

image

具體操作,請參見創建和管理流量鏡像。

上一篇: 使用流日志監控混合云專線資源使用 下一篇: 創建和管理流量鏡像
阿里云首頁 專有網絡VPC 相關技術圈