VPC 总流量的活动详细信息 - Amazon Detective
活动详细信息的内容对活动详细信息进行排序筛选活动详细信息为活动详细信息选择时间范围显示选定行的流量显示 EKS 集群的 VPC 流量显示共享的 Amazon 的 VPC 流量 VPCs

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

VPC 总流量的活动详细信息

对于 EC2 实例,“整体 VPC 流量量” 的活动详细信息显示了选定时间范围内 EC2 实例与 IP 地址之间的交互情况。

对于 Kubernetes 容器组,VPC 的总流量显示所有目标 IP 地址的 Kubernetes 容器组(pod)分配的 IP 地址的进出字节总量。在 hostNetwork:true 时,Kubernetes 容器组(pod)的 IP 地址不是唯一的。在这种情况下,面板会显示到具有相同配置的其他容器组(pod)的流量以及托管它们的节点。

对于 IP 地址,“整体 VPC 流量量” 的活动详细信息显示了选定时间范围内该 IP 地址与 EC2 实例之间的交互情况。

要显示单个时间间隔的活动详细信息,请选择图表上的时间间隔。

要显示当前范围时间的活动详细信息,请选择显示范围时间的详细信息

活动详细信息的内容

内容反映所选时间范围内的活动。

对于 EC2 实例,活动详细信息包含 IP 地址、本地端口、远程端口、协议和方向的每个唯一组合的条目。

对于 IP 地址,活动详细信息包含 EC2 实例、本地端口、远程端口、协议和方向的每个唯一组合的条目。

每个条目都显示入站流量、出站流量以及访问请求是被接受还是被拒绝。在调查发现配置文件上,注释列会指示 IP 地址何时与当前调查发现相关。

VPC 的总流量配置文件面板的活动详细信息。

对活动详细信息进行排序

您可以按表中的任何一列对活动详细信息进行排序。

默认情况下,活动详细信息首先按照注释排序,然后按照入站流量排序。

筛选活动详细信息

要关注特定活动,您可以按以下值筛选活动详细信息:

  • IP 地址或 EC2 实例

  • 本地或远程端口

  • 方向

  • 协议

  • 请求是被接受还是被拒绝

要添加和删除筛选器

  1. 选择筛选器框。

  2. 属性中,选择要用于筛选的属性。

  3. 提供用于筛选的值。筛选器支持部分值。

    要按 IP 地址进行筛选,您可以指定一个值或选择一个内置筛选器。

    对于 CIDR 模式,您可以选择只包含公共 IP 地址、私有 IP 地址或与特定 CIDR 模式匹配的 IP 地址。

  4. 如果您有多个筛选器,请选择 Boolean 选项来设置这些筛选器的连接方式。

    活动详细信息筛选器的各个筛选器之间的可用连接器列表。

  5. 要删除筛选器,请选择标签右上角的 x 标记。

  6. 要清除所有筛选器,请选择清除筛选器

为活动详细信息选择时间范围

首次显示活动详细信息时,时间范围是范围时间或选定的时间间隔。您可以更改活动详细信息的时间范围。

要更改活动详细信息的时间范围

  1. 选择编辑

  2. 编辑时间窗口上,选择要使用的开始和结束时间。

    要将时间窗口设置为配置文件的默认范围时间,请选择设置为默认范围时间

  3. 选择更新时间窗口

活动详细信息的时间范围在配置文件面板图表上突出显示。

在 VPC 的总流量配置文件面板上突出显示活动详细信息的时间窗口。

显示选定行的流量

当您确定了感兴趣的行,就可以在主图表上显示这些行在一段时间内的流量。

对于要添加到图表中的每行,请选中该复选框。对于选定的每行,容量在入站或出站图表上显示为一条线。

选定活动详细信息行的流量显示在 VPC 的总流量配置文件面板的主图表上。

要关注所选条目的流量,您可以隐藏总流量。要显示或隐藏总流量,请切换总流量

选定活动详细信息行的流量显示在 VPC 总流量配置文件面板的主图表上。总流量是隐藏的。

显示 EKS 集群的 VPC 流量

Detective 可以查看 Amazon Virtual Private Cloud (Amazon VPC) 流量日志,这些日志代表了穿越 Amazon Elastic Kubernetes Service (Amazon EKS)集群的流量。对于 Kubernetes 资源,VPC 流日志的内容取决于 EKS 集群中部署的容器网络接口(CNI)。

默认配置的 EKS 集群使用 Amazon VPC CNI 插件。有关更多详细信息,请参阅《Amazon EKS 用户指南》中的管理 VPC CNI。Amazon VPC CNI 插件使用容器组(pod)的 IP 地址发送内部流量,并将源 IP 地址转换为节点的 IP 地址以进行外部通信。Detective 可以捕获内部流量并将其关联到正确的容器组(pod),但却无法捕获外部流量。

如果您要 Detective 能够发现容器组(pod)的外部流量,请启用外部源网络地址转换 (SNAT)。启用 SNAT 有其局限性和缺点。有关更多详细信息,请参阅《Amazon EKS 用户指南》中的容器组(pod)SNAT

如果您使用不同的 CNI 插件,Detective 对具有 hostNetwork:true 的容器组(pod)的可见性就会受到限制。对于这些容器组(pod),VPC 流量面板会显示发往容器组(pod)的 IP 地址的所有流量。这包括到主机节点的流量,以及任何具有 hostNetwork:true 配置的节点上容器组(pod)的流量。

Detective 在 EKS 容器组(pod)的 VPC 流量面板中显示以下 EKS 集群配置的流量:

  • 在具有 Amazon VPC CNI 插件的集群中,任何向群集 VPC 内发送流量的具有配置 hostNetwork:false 的容器组(pod)。

  • 在具有 Amazon VPC CNI 插件和配置 AWS_VPC_K8S_CNI_EXTERNALSNAT=true 的集群中,任何向群集 VPC 外发送流量的具有 hostNetwork:false 的容器组(pod)。

  • 任何具有配置 hostNetwork:true 的容器组(pod)。来自该节点的流量会与来自其他具有配置 hostNetwork:true 的容器组(pod)的流量混合在一起。

Detective 不会在 VPC 流量面板中显示以下各项的流量:

  • 在具有 Amazon VPC CNI 插件和配置 AWS_VPC_K8S_CNI_EXTERNALSNAT=false 的集群中,任何向集群 VPC 外发送流量的具有配置 hostNetwork:false 的容器组(pod)。

  • 在没有针对 Kubernetes 的 Amazon VPC CNI 插件的集群中,任何具有配置 hostNetwork:false 的容器组(pod)。

  • 任何向托管在同一节点中的另一个容器组发送流量的容器组(pod)。

显示共享的 Amazon 的 VPC 流量 VPCs

Detective 可以查看您共享的亚马逊虚拟私有云(亚马逊 VPC)流日志 VPCs:

  • 如果 Detective 成员账户拥有共享 Amazon VPC,且还有其他非 Detective 账户使用共享 VPC,则 Detective 将监控来自该 VPC 的所有流量,并提供有关该 VPC 内所有流量的可视化。

  • 如果您在共享的亚马逊 VPC 内有一个亚马逊 EC2 实例,并且共享 VPC 所有者不是 Detective 成员,则 Detective 将不会监控来自该 VPC 的任何流量。如果您想查看 VPC 内的流量,则必须将 Amazon VPC 所有者添加为 Detective 图的成员。