本文为您介绍如何通过流日志查看通过云企业网CEN(Cloud Enterprise Network)互通的同地域专有网络VPC(Virtual Private Cloud)之间的访问流量。您可以根据VPC间的互访流量,及时调整业务或者排查异常。

前提条件

  • 您已经在华东1(杭州)地域分别创建了名称为VPC_1和VPC_2的两个专有网络。具体操作,请参见创建和管理专有网络
  • 您已经在VPC_1和VPC_2中分别创建了位于可用区H和可用区I的两个交换机。具体操作,请参见使用交换机
  • 您已经在四个交换机内创建了ECS实例并部署了应用服务。具体操作,请参见使用向导创建实例
  • 您已经登录日志服务产品页开通了日志服务。日志服务会产生费用,更多信息,请参见日志服务计费概述

场景示例

本文以下图场景为例。某企业在华东1(杭州)地域创建了两个VPC。现在需要查看VPC间的访问流量。您可以通过华东1(杭州)地域的企业版转发路由器将VPC_1与VPC_2连通,之后通过流日志功能,查看VPC之间的互访流量。

本文以查看VPC_1访问VPC_2的流日志进行说明。

CEN流日志

配置步骤

配置步骤

步骤一:创建CEN实例

本文以同账号、同地域的网络实例加入CEN实现互通为例。步骤一:创建CEN实例步骤二:连接网络实例的操作均在云企业网新版控制台执行。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,单击创建云企业网实例
  3. 创建云企业网实例对话框,根据以下信息配置云企业网实例,然后单击确认
    1. 名称:输入CEN实例的名称。
      名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短划线(-)。
    2. 描述:输入CEN实例的描述信息。
      描述可以为空或可以填写2~256个中英文字符,不能以http://和https://开头。

步骤二:连接网络实例

您需要将要互通的网络实例连接到同一个CEN实例中。连接后,CEN会自动学习发布已加载的网络实例的路由,实现私网互通。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,单击步骤一:创建CEN实例创建的CEN实例ID。
  3. 在云企业网实例详情页面,单击VPC下的添加图标。
  4. 连接网络实例页面,根据以下信息进行配置,然后单击确定创建
    • 实例类型:系统默认选择专有网络(VPC)
    • 地域:选择要连接的网络实例所在的地域。本示例选择华东1(杭州)
    • 转发路由器:系统自动为您在该地域创建转发路由器。
    • 设定转发路由器的主/备可用区:选择转发路由器的主备可用区。
      说明 在执行此操作时,系统会自动为您创建一个服务关联角色,角色名称为AliyunServiceRoleForCEN。该角色将会允许转发路由器在目标VPC实例的交换机上创建ENI,作为VPC发往转发路由器的流量入口。更多信息,请参见AliyunServiceRoleForCEN
    • 资源归属UID:选择要连接的网络实例所归属的账号类型。本文使用默认值同账号
    • 付费方式:本文使用默认值按量付费
    • 连接名称:输入连接名称。

      名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短划线(-)。

    • 网络实例:选择要连接的VPC网络实例ID。本文选择VPC_1。
    • 交换机:分别从主备可用区中选择交换机。
    • 高级配置:系统默认帮您选中高级功能。本文中VPC_1使用默认配置。
  5. VPC_1连接创建完成后,单击继续创建连接,然后重复步骤4,创建VPC_2网络实例连接。

步骤三:创建流日志

  1. 登录专有网络管理控制台
  2. 在顶部菜单栏处,选择华北1(杭州)地域。
  3. 在左侧导航栏,选择运维与监控 > 流日志
  4. 流日志页面,单击创建流日志
  5. 创建流日志对话框,根据以下信息配置流日志,然后单击确定
    • 流日志名称:输入流日志的名称,本文输入VPC互访流量
    • 资源类型:选择要捕获流量的资源类型,然后选择相应的资源,本文选择专有网络,然后在资源实例列表选择VPC_2,即查看VPC_2的流日志。
      说明 如果需要查看VPC_2访问VPC_1流日志时,选择资源类型选择为专有网络,然后在资源实例列表选择VPC_1。在步骤四:查看流日志输入SQL语句时,vpc-xxx设置为VPC_1的实例ID,srcaddr设置为VPC_2的私网网段,其余步骤均保持不变。
    • 流量类型:选择要捕获流量的类型,本文选择全部流量
    • 项目(Project):选择存储捕获流量的项目(Project)的类型,本文选择新建Project
    • 日志库(Logstore):选择存储捕获流量的日志库(Logstore)的类型,本文选择新建 Logstore
    • 开启流日志分析报表功能:选择该功能后,所选的日志库(Logstore)会开启索引并建立仪表盘,支持对数据进行SQL与可视化分析。本文选择开启该功能。
    • 描述:输入流日志的描述。

步骤四:查看流日志

  1. 登录专有网络管理控制台
  2. 在左侧导航栏,选择运维与监控 > 流日志
  3. 流日志页面,找到目标流日志,然后在 日志服务列单击日志库(Logstore)名称的链接。
    NAT网关
  4. 根据下图示例顺序,查看VPC_1访问VPC_2的流量情况。
    查看流图
    序号 步骤描述
    • 输入以下SQL语句对日志进行聚合和排列,筛选VPC_1访问VPC_2流量的图表:
      vpc-xxx and srcaddr: 172.16.* and action: ACCEPT | select date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, sum(bytes*8/("end"-start)) as bandwidth group by time order by time asc limit 1000
      该SQL语句定义了时间time、带宽bandwidth(bps)、源地址srcaddr三个参数,并按time从小到大排序,取1000条日志。其中参数说明如下:
      • vpc-xxx:VPC_2的实例ID。
      • srcaddr:VPC_1的私网网段。
      • 其余字段请参照示例值输入。
    • 输入以下SQL语句,筛选VPC_1内各个ECS实例访问VPC_2的流量图表:
      vpc-xxx and srcaddr: 172.16.* and action: ACCEPT | select date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, srcaddr,sum(bytes*8/("end"-start)) as bandwidth group by time,srcaddr order by time asc limit 1000
      • vpc-xxx:VPC_2的实例ID。
      • srcaddr:VPC_1的私网网段。
      • 生成流图时,聚合列选择scrddr
    选择要查看流日志的时间。
    单击统计图表页签,然后单击流图选择流图格式。
    属性配置区域,设置以下参数信息:
    • 图表类型:本文以线图为例进行说明。
    • X轴:设置为time
    • Y轴:设置为bandwidth
    • 聚合列:保留为空,不设置取值。
    • 格式化:设置为bps, Kbps, Mbps
    其余参数保持默认值。
    单击添加到仪表盘,在弹出的对话框中设置以下参数信息:
    • 操作类型:本文以新建仪表盘为例进行说明。
    • 仪表盘名称:填写仪表盘的名称,本文输入VPC_1访问VPC2的流量
    • 图表名称:填写图表名称,本文输入VPC_1访问VPC_2的流量
    您可以在仪表盘查看流日志信息。
    单击查询/分析,即可查看VPC_1访问VPC_2的流量。
  5. 可选:查看VPC_2访问VPC_1流量的图表时,您可以在创建流日志时资源类型选择为专有网络,然后在下拉列表中选择VPC_1。输入SQL语句时,vpc-xxx设置为VPC_1的实例ID,srcaddr设置为VPC_2的私网网段,其余步骤保持不变。