在 Google 雲端上配置流量鏡像

步驟

1. 設定網路對等連線。
   趨勢科技 建議將虛擬網路感測器資料防護端口定位到與鏡像源 VM 不同的 VPC 網路。如果您將資料防護端口分配到與鏡像源 VM 相同的網路，跳到下一步。

   重要 如果您使用多個 VPC 網路，必須在兩個 VPC 網路上設置網路對等連接以啟用封包鏡像。

   1. 在您的 Google 雲端環境中，前往 VPC network → VPC networks。
   2. 尋找並點選具有鏡像來源 VM 的 VPC 網路。
      顯示VPC network details畫面。
   3. 前往VPC Network Peering。
   4. 點選Add Peering。
      Create peering connection 畫面出現。
   5. 為對等連線指定唯一的name。
   6. 在Peered VPC netwok下，選擇分配虛擬網路感測器資料埠的 VPC 網路名稱。
   7. 點選Create。
   8. 返回VPC Networks畫面。
   9. 找到並點選具有虛擬網路感測器資料埠的 VPC 網路。
      顯示VPC network details畫面。
   10. 前往VPC Network Peering。
   11. 點選Add Peering。
       Create peering connection 畫面出現。
   12. 為對等連線指定唯一的name。
   13. 在Peered VPC netwok下，選擇鏡像來源 VM 所在的 VPC 網路名稱。
   14. 點選Create。
2. 建立一個非受管實例群組。
   1. 前往 Compute Engine → Instance groups。
   2. 點選Create Instance Group。
      Create Instance Group 畫面出現。
   3. 點選New unmanaged instance group。
   4. 為實例組指定唯一的name。
   5. 選擇部署虛擬網路感測器的位置。
   6. 選擇網路，其中虛擬網路感測器管理埠位於此處。
   7. 選擇Subnetwork，其中虛擬網路感測器管理埠位於此處。
   8. 對於VM instances，選擇虛擬網路感測器實例。
   9. 點選Create。
3. 建立健康檢查。
   1. 前往Compute Engine → Health checks。
   2. 點選Create Health Check。
      Create a health check 畫面出現。
   3. 為健康檢查指定一個唯一的name。
   4. 對於通訊協定，選擇TCP。
   5. 對於通訊埠，輸入14789。
   6. 點選Create。
4. 建立負載平衡器。
   1. 前往Network services → Load balancing。
   2. 點選Create Load Balancer。
      顯示Create a load balancer畫面。
   3. 對於Type of load balancer，選擇Network Load Balancer (TCP/UDP/SSL)並點選下一步。
   4. 對於Proxy or passthrough，選擇Passthrough load balancer並點選下一步。
   5. 對於Public facing or internal，選擇Internal並點選下一步。
   6. 點選Configure。
      顯示Create internal passthrough Network Load Balancer畫面。
   7. 為負載平衡器指定唯一的name。
   8. 選擇部署虛擬網路感測器的相同Region。
   9. 選擇虛擬網路感測器資料埠所在的相同網路。
   10. 如果Backend configuration未自動顯示，請點選Backend configuration。
   11. 對於Backend type，選擇Instance group。
   12. 對於通訊協定，選擇TCP。
   13. 在New backend下，為IP stack type選擇IPV4 (single-stack)。
   14. 選擇具有虛擬網路感測器管理埠的Instance group您創建的。
   15. 選擇Health check您創建的。
   16. 對於Session affinity，選擇無。
   17. 點選完成。
   18. 點選Frontend configuration。
   19. 選擇Subnetwork，其中虛擬網路感測器資料防護端口位於。
   20. 對於Ports，選擇All。
   21. 展開Advanced Configurations。
   22. 選擇Enable this load balancer for Packet Mirroring。
   23. 點選完成。
   24. 點選Create。
5. 建立封包鏡像政策。
   1. 前往 VPC network → Packet mirroring。
   2. 點選Create Policy。
      Create policy 畫面出現。
   3. 指定唯一的Policy name。
   4. 選擇部署虛擬網路感測器的相同Region。
   5. 點選繼續。
   6. 選擇 VPC 網路。
      • 如果您將虛擬網路感測器資料埠分配到與鏡像來源 VM 相同的網路，請選擇Mirrored source and collector destination are in the same VPC network，然後選擇它們所在的 VPC 網路。
      • 如果您將虛擬網路感測器資料埠分配到與鏡像來源 VM 不同的網路，請選擇Mirrored source and collector destination are in separate, peered VPC networks，然後選擇以下選項：
        • Mirrored source VPC network：選擇鏡像來源 VM 的網路
        • Collector destination VPC network：選擇虛擬網路感測器資料防護埠的網路
   7. 點選繼續。
   8. 對於Mirrored source，選擇Select individual instances並點選Select。
   9. 在出現的畫面中，選擇鏡像來源 VM 並點選Select。
   10. 點選繼續。
   11. 選擇您建立的負載平衡器作為Collector destination。
       負載平衡器可能會以NAME-forwarding-rule (NAME)的格式出現。
   12. 點選繼續。
   13. 選擇Mirror all IPv4 traffic (default)。
   14. 點選Submit。
6. 為虛擬網路感測器資料埠配置防火牆規則。
   趨勢科技 建議為虛擬網路感測器資料埠設定防火牆規則，允許所有流量進入該埠，以便最大限度地查看網路流量。
   1. 前往VPC network → VPC networks。
   2. 找到虛擬網路感測器資料埠所在的 VPC 網路，然後點選名稱。
      顯示VPC network details畫面。
   3. 前往Firewalls。
   4. 點選Add Firewall Rule。
      Create a firewall rule 畫面出現。
   5. 為防火牆規則指定一個唯一的name。
   6. 對於Direction of traffic，選擇Ingress。
   7. 對於Action on match，選擇允許。
   8. 對於Targets，選擇虛擬網路感測器。
      如果您將虛擬網路感測器資料埠單獨部署到新的 VPC 網路，您可以選擇All instances in the network。
   9. 對於Source IPv4 ranges，輸入0.0.0.0/0以允許所有來源。
   10. 對於Protocols and ports，選擇Allow all。
   11. 點選Create。
   鏡像流量在所有步驟成功完成後開始流向虛擬網路感測器。如果流量未到達虛擬網路感測器，請檢查您的配置。