总VPC流量的活动详情 - Amazon Detective
活动详细信息的内容对活动详细信息进行排序筛选活动详细信息为活动详细信息选择时间范围显示选定行的流量显示集EKS群的VPC流量流量显示共享的 Amazon 的VPC流量 VPCs

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

总VPC流量的活动详情

对于EC2实例,“总VPC流量” 的活动详细信息显示了选定时间范围内EC2实例与 IP 地址之间的交互情况。

对于 Kubernetes 容器,总体VPC流量显示所有目标 IP 地址的 Kubernetes 容器分配的 IP 地址的进出字节总量。在 hostNetwork:true 时,Kubernetes 容器组(pod)的 IP 地址不是唯一的。在这种情况下,面板会显示到具有相同配置的其他容器组(pod)的流量以及托管它们的节点。

对于 IP 地址,“总VPC流量” 的活动详细信息显示了选定时间范围内该 IP 地址与EC2实例之间的交互情况。

要显示单个时间间隔的活动详细信息,请选择图表上的时间间隔。

要显示当前范围时间的活动详细信息,请选择显示范围时间的详细信息

活动详细信息的内容

内容反映所选时间范围内的活动。

对于EC2实例,活动详细信息包含 IP 地址、本地端口、远程端口、协议和方向的每个唯一组合的条目。

对于 IP 地址,活动详细信息包含EC2实例、本地端口、远程端口、协议和方向的每个唯一组合的条目。

每个条目都显示入站流量、出站流量以及访问请求是被接受还是被拒绝。在调查发现配置文件上,注释列会指示 IP 地址何时与当前调查发现相关。

总体VPC流量配置文件面板的活动详细信息。

对活动详细信息进行排序

您可以按表中的任何一列对活动详细信息进行排序。

默认情况下,活动详细信息首先按照注释排序,然后按照入站流量排序。

筛选活动详细信息

要关注特定活动,您可以按以下值筛选活动详细信息:

  • IP 地址或EC2实例

  • 本地或远程端口

  • 方向

  • 协议

  • 请求是被接受还是被拒绝

要添加和删除筛选器

  1. 选择筛选器框。

  2. 属性中,选择要用于筛选的属性。

  3. 提供用于筛选的值。筛选器支持部分值。

    要按 IP 地址进行筛选,您可以指定一个值或选择一个内置筛选器。

    对于CIDR模式,您可以选择仅包含公有 IP 地址、私有 IP 地址或与特定CIDR模式匹配的 IP 地址。

  4. 如果您有多个筛选器,请选择 Boolean 选项来设置这些筛选器的连接方式。

    活动详细信息筛选器的各个筛选器之间的可用连接器列表。

  5. 要删除筛选器,请选择标签右上角的 x 标记。

  6. 要清除所有筛选器,请选择清除筛选器

为活动详细信息选择时间范围

首次显示活动详细信息时,时间范围是范围时间或选定的时间间隔。您可以更改活动详细信息的时间范围。

要更改活动详细信息的时间范围

  1. 选择编辑

  2. 编辑时间窗口上,选择要使用的开始和结束时间。

    要将时间窗口设置为配置文件的默认范围时间,请选择设置为默认范围时间

  3. 选择更新时间窗口

活动详细信息的时间范围在配置文件面板图表上突出显示。

在 “总体VPC流量配置文件” 面板上突出显示活动详细信息的时间窗口。

显示选定行的流量

当您确定了感兴趣的行,就可以在主图表上显示这些行在一段时间内的流量。

对于要添加到图表中的每行,请选中该复选框。对于选定的每行,容量在入站或出站图表上显示为一条线。

选定活动详细信息行的流量显示在 “总体VPC流量配置文件” 面板的主图表上。

要关注所选条目的流量,您可以隐藏总流量。要显示或隐藏总流量,请切换总流量

选定活动详细信息行的流量显示在总体VPC流量配置文件面板的主图表上。总流量是隐藏的。

显示集EKS群的VPC流量流量

Detective 可以看到你的亚马逊虚拟私有云(亚马逊VPC)流日志,这些日志代表了穿越你的亚马逊 Elastic Kubernetes Service(亚马逊)集群的流量。EKS对于 Kubernetes 资源,VPC流日志的内容取决于集群中部署的容器网络接口 (CNI)。EKS

具有默认配置的EKS集群使用 Amazon VPC CNI 插件。有关更多详细信息,请参阅 Amazon EKS 用户指南VPCCNI中的管理。Amazon VPC CNI 插件使用容器的 IP 地址发送内部流量,并将源 IP 地址转换为节点的 IP 地址以进行外部通信。Detective 可以捕获内部流量并将其关联到正确的容器组(pod),但却无法捕获外部流量。

如果你想让 Detective 可以看到你的 pod 的外部流量,请启用 “外部源网络地址转换” (SNAT)。启用SNAT有其局限性和缺点。有关更多详细信息,SNAT请参阅《Amazon EKS 用户指南》中的 pod

如果你使用其他CNI插件,Detective 对带有 pod 的可见性有限hostNetwork:true。对于这些 pod,Flo VPCw 面板会显示发往该容器的 IP 地址的所有流量。这包括到主机节点的流量,以及任何具有 hostNetwork:true 配置的节点上容器组(pod)的流量。

Detective 在EKS容器的VPC流量面板中显示以下EKS集群配置的流量:

  • 在带有 Amazon VPC CNI 插件的集群中,任何具有该配置的 pod 都会在VPC集群内部hostNetwork:false发送流量。

  • 在带有 Amazon VPC CNI 插件和配置的集群中AWS_VPC_K8S_CNI_EXTERNALSNAT=true,任何在VPC集群之外hostNetwork:false发送流量的容器。

  • 任何具有配置 hostNetwork:true 的容器组(pod)。来自该节点的流量会与来自其他具有配置 hostNetwork:true 的容器组(pod)的流量混合在一起。

Detective 不会在VPC流量面板中显示以下各项的流量:

  • 在带有 Amazon VPC CNI 插件和配置的集群中AWS_VPC_K8S_CNI_EXTERNALSNAT=false,任何具有该配置的 pod 都会向集群外部hostNetwork:false发送流量。VPC

  • 在没有适用于 Kubernetes 的 Amazon VPC CNI 插件的集群中,任何具有该配置的 pod。hostNetwork:false

  • 任何向托管在同一节点中的另一个容器组发送流量的容器组(pod)。

显示共享的 Amazon 的VPC流量 VPCs

Detective 可以查看你的 Amazon Virtual Private Cloud(亚马逊VPC)共享的流日志VPCs:

  • 如果 Detective 成员账户拥有共享的 Amazon,VPC而其他非侦探账户使用共享账户VPC,则 Detective 会监控来自该账户的所有流量VPC,并可视化其中的所有流量。VPC

  • 如果您在共享的亚马逊内有一个亚马逊EC2实例,VPC并且共享VPC所有者不是侦探会员,则 Detective 将不会监控来自该服务器的任何流量VPC。如果您想查看其中的流量VPC,则必须将亚马逊VPC所有者添加为 Detective 图表的成员。