Google cloud platform 确定子网以在GCP中启用VPC流程日志
我们需要在我们的Google cloud platform 确定子网以在GCP中启用VPC流程日志,google-cloud-platform,audit-logging,google-vpc,Google Cloud Platform,Audit Logging,Google Vpc,我们需要在我们的GCP环境中启用VPC流量日志。大约有100个项目,大多数服务都使用SharedVPC。每个SharedVPC都有大约三个子网并且许多项目中的服务仍在默认VPC下运行,因为与VPC流量日志相关的成本,如存储成本和数据访问审核日志。因此,我们的计划不是仅在面向Internet的子网上启用流量日志。但在“GCP”中没有类似于私有/公共子网的东西 我们正在考虑的一种选择是,识别暴露于互联网的GCP服务的子网,或使用公共IP如谷歌负载平衡器,具有公共IP的VM实例,GKE LB和Ingr
GCP
环境中启用VPC流量日志。大约有100个项目,大多数服务都使用SharedVPC
。每个SharedVPC
都有大约三个子网并且许多项目中的服务仍在默认VPC
下运行,因为与VPC流量日志相关的成本,如存储成本
和数据访问审核日志
。因此,我们的计划不是仅在面向Internet的子网上启用流量日志。但在“GCP”中没有类似于私有/公共子网的东西
我们正在考虑的一种选择是,识别暴露于互联网的GCP服务的子网
,或使用公共IP
如谷歌负载平衡器
,具有公共IP的VM实例
,GKE LB和Ingress
,使用公共IP
等云计算SQL实例,并在这些子网上启用专有网络流量日志
。但我们必须浏览所有项目,以确定这些服务的子网,这些子网是使用公共IP
公开的。这有意义吗
还有一些选项,如增加聚合内部
和采样率
,以降低与专有网络流量日志相关的成本
,但我正在寻找
有关可用于识别启用VCP流日志的子网
的指南和最佳实践
,看起来VPC流日志只记录来自VM实例和与GKE关联的VM的流量。不用于捕获来自负载平衡器、GKE入口、公共SQL实例等服务的流量。有人可以确认吗?如果你想扫描从互联网到你的虚拟机的流量,我想防火墙日志更适合这个。专有网络流量日志只捕获内部专有网络流量。@guillaume blaquiere,我同意你的意见,我认为这可能是解决这种情况的正确答案。我想在这方面补充一点。我想请你把你的评论作为这个问题的正确答案,以帮助社区。