流量镜像概述
VPC流量镜像功能可以镜像经过弹性网卡ENI(Elastic Network Interface)且符合筛选条件的报文。例如,您可以复制VPC中ECS实例的网络流量,并将复制后的网络流量转发给指定的弹性网卡或私网传统型负载均衡CLB(Classic Load Balancer)实例。该功能可用于内容检查、威胁监控和问题排查等场景。
支持流量镜像的地域
公有云支持的地域
区域 | 支持流量镜像的地域 |
亚太 | 华东1(杭州)、华东2(上海)、华东5 (南京- 本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华南1(深圳)、华南2(河源)、华南3(广州)、西南1(成都)、中国香港、华东6(福州-本地地域)、日本(东京)、韩国(首尔)、新加坡、澳大利亚(悉尼)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、泰国(曼谷)、菲律宾(马尼拉) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(硅谷)、美国(弗吉尼亚) |
中东 | 沙特(利雅得) |
金融云支持的地域
区域 | 支持流量镜像的地域 |
亚太 | 华北2 金融云(邀测)、华东1 金融云、华东2 金融云 |
政务云支持的地域
区域 | 支持流量镜像的地域 |
亚太 | 华北2 阿里政务云1 |
流量镜像概念介绍
筛选条件:包含入方向规则和出方向规则,用来筛选在镜像会话中镜像的网络流量。
入方向流量:弹性网卡ENI接收的流量。
出方向流量:从弹性网卡ENI发出的流量。
镜像源:需要镜像网络流量的弹性网卡实例。
镜像目的:接收镜像的网络流量的弹性网卡实例或私网CLB实例。
镜像会话:通过指定的筛选条件,将网络流量从镜像源复制到镜像目标的过程。
筛选条件说明
您可以在筛选条件中创建入方向规则和出方向规则。创建镜像会话时关联筛选条件,镜像会话创建成功后开启镜像会话,所有符合筛选条件的网络流量都会被镜像。入方向规则和出方向规则采用五元组来采集满足条件的流量。五元组即源网段、源端口、目的网段、目的端口和协议类型五个量组成的集合。
例如,您在筛选条件中设置入方向规则为:源网段192.168.0.0/16、源端口10000、目的网段10.0.0.0/8、目的端口80和协议类型TCP。当网络流量流入ECS实例时,镜像会话将会镜像同时符合以下条件的网络流量:源网段为192.168.0.0/16、源端口为10000、使用TCP协议目的网段为10.0.0.0/8、目的端口为80。
应用场景
安全场景:网络入侵检测
通过自主研发或者第三方安全软件对流量做全面检查,确保能够捕获所有可能存在的安全漏洞和入侵威胁,以便更快速的检查和响应攻击。
审计场景:金融或政府
对于金融或安全性合规性比较高的业务场景,需要具备流量审计能力。通过流量镜像,您可以透明地将实例流量镜像到统一审计平台进行分析,以满足审计需求。
网络运维场景:网络问题定位
通过流量镜像来检查网络问题,运维人员可以直接查看传输的内容(例如:分析TCP的重传)来排查问题,而不依赖进入虚拟机内部抓取报文。
功能计费
计费说明
流量镜像总费用=实例费+流量处理费
实例费=开启镜像会话的弹性网卡实例个数(个)×镜像会话活跃时长(小时)×实例费单价(元/个/小时)
弹性网卡实例启用镜像会话后,每个启用了镜像会话的弹性网卡实例按小时付费,不足1小时按1小时计费。弹性网卡实例停用镜像会话后停止收费。
流量处理费=镜像流量总量(GB)×流量处理费单价(元/GB)
计费项的单价如下表所示:
计费项 | 单价 |
实例费 | 0.1(元/个/小时) |
流量处理费 | 0.05(元/GB) |
2025年03月31日前免收流量处理费。
例如,美国(硅谷)可用区B,一个VPC内的5个弹性网卡实例启用了镜像会话,镜像会话的活跃时间为30天,每天24小时,镜像流量总量为20 GB。详细费用计算如下:
实例费=5×30×24×0.1=360元
流量处理费=20×0.05=1元
流量镜像总费用=360+1=361元
欠费说明
欠费后如果在延停权益额度内,流量镜像功能不会受到停服影响。
说明阿里云提供延期免停权益,即当按量付费的资源发生欠费后,提供一定额度或时长继续使用云服务的权益,延停期间正常计费。具体使用说明和规则,请参见 延期免停权益。
欠费后如果超出了延停权益额度,流量镜像功能停止工作,已开启的镜像会话自动关闭。
如果您在流量镜像功能停止24小时内充值并补足欠费后,服务会自动开启,您可以继续使用流量镜像服务,被停止的镜像会话会自动开启。
如果您在流量镜像功能停止24小时后未及时充值,镜像会话实例会被删除。在实例删除前一天会发送短信或邮件提醒,实例被删除后相关配置和数据将被删除,不可恢复。
欠费15天内,流量镜像功能仍可正常提供服务。
如果欠费达到15天仍未缴清账单,流量镜像功能将进入暂停服务状态。此种状态下,您不能对流量镜像功能进行任何操作,已开启的镜像会话停止工作状态。
如果进入暂停服务状态达到15天仍未缴清账单,镜像会话实例会被自动删除。在实例删除前一天会发送邮件提醒,实例被删除后相关配置和数据将被删除,不可恢复。
流量镜像的限制
配额
配额名称 | 描述 | 默认限制 | 提升配额 |
trafficmirror_quota_source_num_per_session | 单个镜像会话支持加入的镜像源个数 | 10个 | 您可以通过以下任意方式自助提升配额:
|
无 | 单账号单地域支持的最大镜像会话数 | 20000条 | 无法提升 |
单个镜像源支持创建的最大镜像会话数 | 3条 | ||
单账号支持加入的镜像目的个数 | 无限制 | ||
单个镜像目的支持的镜像源个数 |
| ||
单个筛选条件支持的筛选规则数 | 10个 | ||
单个筛选条件支持关联的镜像会话数 | 2000条 | ||
不支持流量镜像的ECS实例规格 | ecs.ga1、ecs.i1、ecs.xn4、ecs.i1-c5d1、ecs.t1 | 无 |
使用限制
账号与地域
可以在同账号、同地域的单VPC或跨VPC下创建镜像源和镜像目的。不支持跨地域或跨账号的场景。
说明镜像目的地址必须是镜像源路由可达的IP地址。
IP版本
目前,流量镜像不支持镜像IPv6的网络流量。
带宽
流量镜像会占用ECS实例的带宽,且不会作额外限速。
说明ECS实例带宽达到最大容量时,会丢弃流量镜像报文,保障优先转发业务流量。
镜像源和镜像目的
一个镜像源的报文只能被镜像一次,且只能发送给一个镜像目的。
一个弹性网卡实例不能既作为镜像源又作为镜像目的。
流量类型
流量镜像不采集网络ACL丢弃流量、安全组丢弃流量、流日志流量、ARP及DHCP流量。
安全规则
报文在从镜像源复制时不受安全组和网络ACL策略的限制,但报文在复制至镜像目的时会受安全组和网络ACL策略的限制。因此,需要在镜像目的所在的安全组和网络ACL中配置以下规则:
安全组规则:入方向允许镜像源弹性网卡的IP访问目的端口为4789的UDP协议报文。关于如何配置安全组规则,请参见 创建安全组。
网络ACL规则:入方向允许来自镜像源弹性网卡的IP和所有源端口的UDP协议报文。关于如何配置网络ACL,请参见 创建和管理网络ACL。
镜像报文长度与MTU
流量镜像的报文采用标准的VXLAN报文格式封装,更多有关VXLAN协议的信息,请参见 RFC 7348。
镜像目的收到的被镜像的报文长度受限于链路最小MTU值和设置的镜像报文长度。
当被镜像的报文长度加上VXLAN头的长度(固定值50)大于链路的最小MTU值时,系统会对镜像报文进行截断。
在阿里云网络内,链路默认支持的MTU值为1500,但部分网络组件例如VPN网关等自身的MTU限制小于1500。详细信息,请参见 网络最大传输单元MTU。
如果链路最小MTU值大于1500,例如8500,系统仍然会按照链路长度MTU值=1500进行截断。
当被镜像报文长度大于设置的镜像报文长度时,系统会对镜像报文进行截断。仅部分地域支持设置,详情请参见 创建和管理流量镜像。
此外,当源ECS实例开启TSO或UFO功能时,分片业务报文的镜像行为可能会有所不同。如需镜像目的接收到所有分片业务报文的镜像报文,建议您关闭TSO和UFO功能(关闭后可能会对实例性能有影响)或使用7代及以上的ECS实例规格族。
说明您可以根据实例规格族主体中的数字来判断实例规格是否为7代,例如ecs.g7se.xlarge。关于实例规格族的更多信息,请参见 ECS选型最佳实践。
报文长度单位为字节。
使用流程
具体操作,请参见 创建和管理流量镜像。
- 本页导读 (1)