整體 VPC 流量的活動詳細資訊 - Amazon Detective
活動內容詳細資訊排序活動詳細資訊篩選活動詳細資訊選取活動詳細資訊的時間範圍顯示所選列的流量顯示 EKS 叢集的 VPC 流量顯示共用 Amazon VPC 的 VPC 流程流量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

整體 VPC 流量的活動詳細資訊

針對 EC2 執行個體,整體 VPC 流量的活動詳細資訊會顯示所選時間範圍內 EC2 執行個體和 IP 地址之間的互動。

針對 Kubernetes Pod,整體 VPC 流量會針對所有目的地 IP 地址,顯示 Kubernetes Pod 指派之 IP 地址的進出整體位元組量。在這一情況下 (hostNetwork:true),Kubernetes Pod 的 IP 地址并非唯一地址。在此情況下,面板會顯示具有傳送至相同組態的其他 Pod 的流量,以及託管 Pod 的節點。

針對 IP 地址,整體 VPC 流量的活動詳細資訊會顯示 IP 地址與 EC2 執行個體在所選時間範圍內的互動。

若要顯示單一時間間隔的活動詳細資訊,請在圖表上選擇時間間隔。

若要顯示目前範圍時間的活動詳細資訊,請選擇顯示範圍時間的詳細資訊

活動內容詳細資訊

內容反映在所選時間範圍內的活動。

針對 EC2 執行個體,活動詳細資訊包含 IP 地址、本機連接埠、遠端連接埠、通訊協定和方向的每個唯一組合的項目。

針對 IP 地址,活動詳細資訊包含 EC2 執行個體、本機連接埠、遠端連接埠、通訊協定和方向的每個唯一組合的項目。

每個項目都會顯示傳入流量、傳入流量以及存取要求是否已接受或拒絕。在調查結果設定檔上,注釋欄位會指出 IP 地址何時與目前調查結果相關。

整體 VPC 流量設定檔面板的活動詳細資訊。

排序活動詳細資訊

您可以依據資料表中的任何欄位來排序活動詳細資訊。

根據預設,活動詳細資訊會先依註釋排序,然後依傳入流量排序。

篩選活動詳細資訊

若要專注於特定活動,您可以依以下值篩選活動詳細資訊:

  • IP 地址或 EC2 執行個體

  • 本機或遠端連接埠

  • Direction

  • 通訊協定

  • 請求是否被接受或拒絕

若要新增和移除篩選條件

  1. 選擇篩選條件方塊。

  2. 屬性中,選擇要用於篩選的內容。

  3. 提供用於篩選的值。篩選條件支援部分值。

    若要依 IP 地址進行篩選,您可以指定值或選擇內建篩選條件。

    針對 CIDR 模式,您可以選擇僅包含公用 IP 地址、私有 IP 地址或符合特定 CIDR 模式的 IP 地址。

  4. 如果您有多個篩選條件,請選擇布林值選項來設定此類篩選條件的連線方式。

    活動詳細資訊篩選條件之個別篩選條件之間的可用連接器清單。

  5. 若要移除篩選條件,請選擇右上角的 x 圖示。

  6. 若要清除所有篩選條件,請選擇清除篩選條件

選取活動詳細資訊的時間範圍

當您首次顯示活動詳細資訊時,時間範圍是範圍時間或選取的時間間隔。您可以變更活動詳細資訊的時間範圍。

若要變更活動詳細資訊的時間範圍

  1. 選擇編輯

  2. 編輯時間範圍上,選擇要使用的開始和結束時間。

    若要將時間範圍設定為設定檔的預設範圍時間,請選擇設定為預設範圍時間

  3. 選擇更新時間範圍

活動詳細資訊的時間範圍會在設定檔面板圖表上反白顯示。

在整體 VPC 流量設定檔面板上反白顯示活動詳細資訊的時間範圍。

顯示所選列的流量

當您識別感興趣的資料列時,可以在主圖表上顯示此類資料列隨時間變化的流量。

針對每個要新增至圖表的資料列,勾選核取方塊。針對每個已選取的資料列,流量會在傳入或傳出圖表上顯示為一條線。

所選活動的流量詳細資訊列會顯示在整體 VPC 流量設定檔面板的主要圖表上。

若要專注於所選項目的流量,您可以隱藏整體流量。若要顯示或隱藏整體流量,請切換整體流量

所選活動的流量詳細資訊列會顯示在整體 VPC 流量設定檔面板的主要圖表上。整體流量處於隱藏狀態。

顯示 EKS 叢集的 VPC 流量

Detective 可以為 Amazon Virtual Private Cloud (Amazon VPC) 流程日誌提供可見度,此類日誌代表周遊 Amazon Elastic Kubernetes Service (Amazon EKS) 叢集的流量。針對 Kubernetes 資源,VPC 流程日誌的內容取決於 EKS 叢集中部署的容器網路介面 (CNI)。

使用預設組態的 EKS 叢集會使用 Amazon VPC CNI 外掛程式。如需詳細資訊,請參閱《Amazon EKS 使用者指南》中的管理 VPC CNIAmazon VPC CNI 外掛程式會使用 Pod 的 IP 地址傳送內部流量,並將來源 IP 地址翻譯為節點的 IP 地址以進行外部通訊。Detective 可以擷取內部流量並將其關聯到正確的 Pod,但無法對外部流量執行相同動作。

如果您希望 Detective 能夠對 Pod 的外部流量具有可見度,請啟用外部來源網路地址轉譯 (SNAT)。啟用 SNAT 具有限制和缺點。如需詳細資訊,請參閱《Amazon EKS 使用者指南》中的適用於 Pod 的 SNAT

如果您使用不同的 CNI 外掛程式,Detective 針對使用 hostNetwork:true 的 Pod 有限可見度。針對此類 Pod,VPC 流程面板會顯示傳入 Pod IP 地址的所有流量。這包括傳入託管節點的流量以及傳入具有 hostNetwork:true 組態之節點上任何 Pod 的流量。

Detective 會針對以下 EKS 叢集組態,在 EKS Pod 的 VPC 流程面板中顯示流量:

  • 在具有 Amazon VPC CNI 外掛程式的叢集中,任何在叢集的 VPC 內傳送流量的 Pod (具有組態 hostNetwork:false)。

  • 在具有 Amazon VPC CNI 外掛程式和組態 AWS_VPC_K8S_CNI_EXTERNALSNAT=true 的叢集中,任何在叢集 VPC 外部傳送流量的 Pod (具有 hostNetwork:false)。

  • 任何具有組態 hostNetwork:true 的 Pod。來自節點的流量會與來自具有組態 hostNetwork:true 之其他 Pod 的流量混合在一起。

Detective 不會在 VPC 流程面板中顯示以下項目的流量:

  • 在具有 Amazon VPC CNI 外掛程式和組態 AWS_VPC_K8S_CNI_EXTERNALSNAT=false 的叢集中,任何在叢集 VPC 外部傳送流量的 Pod (具有組態 hostNetwork:false)。

  • 在無需針對 Kubernetes 使用 Amazon VPC CNI 外掛程式的叢集內,任何具有組態 hostNetwork:false 的 Pod。

  • 傳送流量至相同節點中託管的另一個 Pod 的任何 Pod。

顯示共用 Amazon VPC 的 VPC 流程流量

Detective 可以深入查看共用 VPC 的 Amazon Virtual Private Cloud (Amazon VPC) Flow Logs:

  • 如果 Detective 成員帳戶擁有共用 Amazon VPC,而且還有其他非 Detective 帳戶使用共用 VPC,則 Detective 會監控來自該 VPC 的所有流量,並且對 VPC 內的所有流量流程提供視覺效果。

  • 如果您的共用 Amazon VPC 內有 Amazon EC2 執行個體,而共用 VPC 擁有者不是 Detective 成員,則 Detective 不會監控來自 VPC 的任何流量。如果您想要檢視 VPC 內的流量流程,則必須將 Amazon VPC 擁有者新增為 Detective 圖形的成員。