VPC流量镜像功能可将经过弹性网卡ENI(Elastic Network Interface)的符合指定条件的报文镜像。通过流量镜像功能,您可以复制VPC中ECS实例的网络镜像,然后将这些镜像流量转发给指定的ENI或私网SLB实例,用于内容检查、威胁监控和问题排查等场景。

流量镜像

流量镜像支持的地域

流量镜像功能支持的地域情况如下表所示。
区域 支持流量镜像的地域
欧洲与美洲 美国(硅谷)、美国(弗吉尼亚)、英国(伦敦)
亚太 澳大利亚(悉尼)

流量镜像概念介绍

  • 筛选条件:包含入方向规则和出方向规则,用来筛选在镜像会话中镜像的网络流量。
  • 镜像源:需要镜像网络流量的ENI实例。
  • 镜像目的:接收镜像的网络流量的ENI实例或私网SLB实例。
  • 镜像会话:通过指定的筛选条件,将网络流量从镜像源镜像到镜像目标的过程。

筛选条件说明

您可以在筛选条件中创建入方向规则和出方向规则。创建镜像会话时关联筛选条件,镜像会话创建成功后开启镜像会话,所有符合筛选条件的网络流量都会被镜像。入方向规则和出方向规则采用五元组来采集满足条件的流量。五元组即源网段、源端口、目的网段、目的端口和协议类型五个量组成的集合。

例如,您在筛选条件中设置入方向规则为:源网段192.168.0.0/16、源端口10000、目的网段10.0.0.0/8、目的端口80和协议类型TCP。镜像会话即会将流入ECS实例的源网段为192.168.0.0/16,源端口为10000,使用TCP协议和目的网段为10.0.0.0/8,目的端口为80的网络流量进行镜像。

应用场景

安全场景:网络入侵检测

通过自主研发或者第三方安全软件对流量做全面检查,确保能够捕获所有可能存在的安全漏洞和入侵威胁,以便更快速的检查和响应攻击。

审计场景:金融或政府

对于金融或安全性合规性比较高的业务场景,需要具备流量审计能力。通过流量镜像,您可以透明地将实例流量镜像到统一审计平台进行分析,以满足审计需求。

网络运维场景:网络问题定位

通过流量镜像来检查网络问题,运维人员可以直接查看传输的内容(例如:分析TCP的重传)来排查问题,而不依赖进入虚拟机内部抓取报文。

功能计费

流量镜像总费用=实例费+流量处理费。
  • 实例费
    按开启镜像会话的ENI实例数计费。
    • ENI实例上启用镜像会话后,每个启用了镜像会话的ENI实例按小时付费,不足1小时按1小时计费,价格为0.014美元/个/小时。
    • ENI实例上停用镜像会话后停止收费。
    例如,美国(硅谷)可用区B,一个VPC内的5个ENI实例启用了镜像会话,镜像会话的活跃时间为30天,每天24小时。实例费为:5×30×24×0.014=50.4美元。
  • 流量处理费

    按镜像流量包大小计费,单位为GB,价格为0.007美元/GB,2022年12月30日之前免费。

    例如,美国(硅谷)可用区B,一个镜像会话活跃时间为1小时,采集的流量为10 GB。流量处理费为:10×0.007=0.07美元。

欠费说明
  • 欠费15天内,流量镜像功能仍可正常提供服务。
  • 如果欠费达到15天仍未缴清账单,流量镜像功能将进入暂停服务状态。此种状态下,您不能对流量镜像功能进行任何操作,已开启的镜像会话停止工作状态。
  • 如果进入暂停服务状态达到15天仍未缴清账单,镜像会话实例会被自动删除。在实例删除前一天会发送邮件提醒,实例被删除后相关配置和数据将被永久删除,不可恢复。

流量镜像的限制

流量镜像的配额限制如下表所示。

资源 默认限制 提升配额
单账号单地域支持的最大镜像会话数 20000 无法提升
单个镜像源支持创建的最大镜像会话数 1
单个镜像会话支持加入的镜像源个数 1
单账号支持加入的镜像目的个数 无限制
单个镜像目的可以被镜像会话使用的个数
  • 镜像目的为私网SLB时,可以被最多200个镜像会话使用
  • 镜像目的为ENI时,可以被最多10个镜像会话使用
单个筛选条件支持的筛选规则数 10
单个筛选条件支持关联的镜像会话数 1000
流量镜像的使用限制如下:
  • 流量镜像的报文采用标准的VXLAN报文格式封装,更多有关VXLAN协议的信息,请参见RFC 7348。当被镜像的报文长度加上VXLAN报文长度大于镜像源实例的MTU值时,系统会对报文进行截断。为了防止报文被截断,建议您在IPv4场景下,设置ENI的MTU值比链路支持的MTU值至少小50字节。具体操作,请参见设置网卡MTU值
  • 您不需要额外向流量镜像提供带宽,流量镜像会占用实例的带宽,且不做额外限速。
  • 报文在从镜像源复制时不受安全组、网络ACL策略限制,但到镜像目的时会受安全组、网络ACL策略限制。
  • 一个镜像源的报文只能被镜像一次,且只能发给一个镜像目的。
  • 一个ENI实例不能既作为镜像源又作为镜像目的。
  • 流量镜像不采集网络ACL丢弃流量、安全组丢弃流量、流日志流量、ARP及DHCP流量。
  • 目前,流量镜像不支持镜像IPv6的网络流量。
  • 目前,仅以下ECS实例规格族支持流量镜像功能:
    • 高主频通用型实例规格族hfg7
    • 高主频内存型实例规格族hfr7
    • 高主频计算型实例规格族hfc7
    • 通用平衡增强型实例规格族g6e
    • 网络增强型实例规格族g7ne

使用流程

流量镜像的使用流程图如下所示。使用流程