Google cloud platform 确定子网以在GCP中启用VPC流程日志_Google Cloud Platform_Audit Logging_Google Vpc

Google cloud platform 确定子网以在GCP中启用VPC流程日志

google-cloud-platform

Google cloud platform 确定子网以在GCP中启用VPC流程日志,google-cloud-platform,audit-logging,google-vpc,Google Cloud Platform,Audit Logging,Google Vpc,我们需要在我们的GCP环境中启用VPC流量日志。大约有100个项目，大多数服务都使用SharedVPC。每个SharedVPC都有大约三个子网并且许多项目中的服务仍在默认VPC下运行，因为与VPC流量日志相关的成本，如存储成本和数据访问审核日志。因此，我们的计划不是仅在面向Internet的子网上启用流量日志。但在“GCP”中没有类似于私有/公共子网的东西我们正在考虑的一种选择是，识别暴露于互联网的GCP服务的子网，或使用公共IP如谷歌负载平衡器，具有公共IP的VM实例，GKE LB和Ingr

我们需要在我们的

GCP

环境中启用

VPC流量日志。大约有100个项目，大多数服务都使用SharedVPC
。每个SharedVPC
都有大约三个子网并且许多项目中的服务仍在默认VPC
下运行，因为与VPC流量日志相关的成本，如存储成本
和数据访问审核日志
。因此，我们的计划不是仅在面向Internet的子网上启用流量日志。但在“GCP”中没有类似于私有/公共子网的东西
我们正在考虑的一种选择是，识别暴露于互联网的GCP服务的子网
，或使用公共IP
如谷歌负载平衡器
，具有公共IP的VM实例
，GKE LB和Ingress
，使用公共IP
等云计算SQL实例，并在这些子网上启用专有网络流量日志
。但我们必须浏览所有项目，以确定这些服务的子网，这些子网是使用公共IP
公开的。这有意义吗
还有一些选项，如增加聚合内部
和采样率
，以降低与专有网络流量日志相关的成本，但我正在寻找
有关可用于识别启用VCP流日志的子网
的指南和最佳实践
，
看起来VPC流日志只记录来自VM实例和与GKE关联的VM的流量。不用于捕获来自负载平衡器、GKE入口、公共SQL实例等服务的流量。有人可以确认吗？如果你想扫描从互联网到你的虚拟机的流量，我想防火墙日志更适合这个。专有网络流量日志只捕获内部专有网络流量。@guillaume blaquiere，我同意你的意见，我认为这可能是解决这种情况的正确答案。我想在这方面补充一点。我想请你把你的评论作为这个问题的正确答案，以帮助社区。