云防火墙支持VPC流量日志分析
云防火墙(Cloud Firewall)是一种在云计算环境中实现网络访问控制和网络流量监控的安全服务。支持VPC流量日志分析可以通过对虚拟私有云(VPC)中的流量进行分析,以提供安全、高效和可视化的访问控制机制。下面是详细的答案内容。
云防火墙是什么?
- 云防火墙是一种在云计算环境中实现网络访问控制和网络流量监控的安全服务。
- 它可以帮助企业组织保护其云环境免受网络攻击和网络威胁。
- 云防火墙可以基于各种标准和协议对流量进行监控和过滤,例如基于OpenSource的
iptables。 - 它可以通过集中式的网络控制和管理,简化网络设置和管理,实现灵活和安全的网络保护。
云防火墙支持哪些功能?
- 网络安全策略: 云防火墙能够配置并应用访问控制策略,控制外部网络对公有云的访问。
- IP地址过滤: 它能够基于源和目的IP地址过滤流量。
- 端口过滤: 它能够基于端口实现对特定端口的访问控制。
- DDoS防护: 云防火墙可以抵御分布式拒绝服务(DDoS)攻击。
- IPS /IDS: 云防火墙能够检测并拦截入侵检测和入侵防御流量。
- 应用策略: 用户可以自定义网络应用策略,限制特定应用程序的通信。
- 虚拟私有云(VPC)流量日志分析: 通过分析虚拟私有云(VPC)中的流量日志,可以提供安全、高效和可视化的访问控制机制。
- 安全组: 云防火墙支持基于安全组的安全保护,允许用户设置虚拟防火墙。
- 流量分析和监控: 云防火墙可以监测和统计网络流量,帮助用户及时发现潜在的安全风险。
VPC流量日志分析的优势
- 实时监控: 能够实时监测和分析VPC中的网络活动,快速识别潜在的安全威胁。
- 数据可视化: 提供了可视化的仪表板,展示了网络活动的实时图表和报告。
- 日志保存: 用户可以保存一定时间的流量日志,以便日后的分析和调查取证。
- 自定义记录配置: 用户可以自定义流量日志记录的频率和保存时间。
VPC流量日志分析的推荐产品
- 腾讯云云防火墙
- 您可以根据您的需要配置和使用腾讯云中的云防火墙,实现网络流量监控与保护,并支持自定义策略管理。
- 另外,腾讯云提供了安全中心、DDoS防护等产品,与云防火墙集成,为您提供一站式服务。
腾讯云云防火墙产品介绍链接地址
腾讯云云防火墙产品详细介绍:腾讯云官网
参考资料
相关·内容
问题
我正在为Kubernetes集群部署一个外部HTTP负载均衡器。拥有允许端口80上TCP流量的VPC防火墙规则的必要性是什么?
上下文
在准备Google平台协理云工程师考试时,我正在学习CloudSkillsBoost。有一个挑战实验室(),Task3要求我为一个包含2个Nginx服务器容器的Kubernetes集群配置一个外部HTTP均衡器(我知道,这是一个大问题)。
我不完全理解为什么解决方案需要TCP防火墙规则。这种架构选择背后的思想过程是什么?
架构
我在努力练习我的建筑设计技巧。这是我对这个云解决方案的解释(下图)。我希望对这张图有任何建设性的反馈。
浏览 9提问于2022-06-14得票数 -1
回答已采纳
是否可以在内部(通过VPC)访问GCP PaaS (应用程序引擎、云功能、云运行)?
我在这个文档中看到: "Serverless VPC Access只允许请求由无服务器环境发起。由VM发起的请求必须使用您的无服务器服务的外部地址--请参阅私有谷歌访问获取更多信息。“
但是,搜索类似于“无服务器VPC访问允许输入/输出请求”的内容
浏览 4提问于2021-03-05得票数 0
回答已采纳
1回答
如果我的GAE Flex应用程序仅供内部使用,而不打算用于任何面向公众的用途,那么保护它的最佳方法是什么?默认情况下,*.appspot.com域公开一个公共HTTP/S端点。
如果我将默认的apps防火墙规则设置为显式拒绝所有HTTP通信量,那么如何从其他项目中的其他GCE实例或其他GAE Flex应用程序访问应用程序?
我最初认为编辑app.yaml文件以使用自己的GCE防火墙规则(默认的入口拒绝)将实例启动到私有VPC中就足够了,但由于请求通过云负载均衡器IP,它仍然允许外部通信。
我看到的下一个选项是Cloud,它只允许经过身份验证的用户和服务帐户访问我的应用程序。这可能有效,但是,如
浏览 0提问于2018-06-25得票数 10
1回答
最近在看诸多厂商关于云产品的介绍,腾讯云的官方文档提到,安全组是对VPC内部以及进出VPC进行安全管理,CFW是对VPC进出进行安全管理。
安全组是通过物理防火墙实现的吗,有性能指标的参考吗。
安全组可以进行VPC进出的管理,额外选用CFW的优势在哪。
浏览 152提问于2022-01-09
使用合作伙伴互连,我试图让restricted.googleapis.com访问工作,但有一些问题。 BGP会话需要通告199.36.153.4/30才能正常工作。是否还需要通告所有VPC网络?只有云路由器所在的区域?都不是吗?
浏览 38提问于2021-06-16得票数 0
我在欧洲有一个应用引擎标准(第二代)服务-west1。我在us-central1 1中的负载均衡器后面也有一个GKE服务。为了访问负载均衡器,我在europe-west1中设置了一个VPC连接器,并使用必要的VPC连接器配置更新了应用程序引擎服务的app.yaml,但是该服务无法访问负载均衡器。请求失败,并出现超时错误。 无服务器VPC连接器是否有区域/区域限制?通过同地域的无服务器功能,与同地域的另一个VPC连接器,成功命中负载均衡。
浏览 32提问于2020-09-30得票数 0
我能够连接一个GCP项目中的两个VPC网络,使用Cloud和动态路由,或者只使用VPC网络对等。具有动态路由的云VPN的性能与VPC网络对等。我试图了解何时使用VPC网络对等,何时使用云VPN动态路由。
浏览 0提问于2018-02-09得票数 1
回答已采纳
1回答
我遇到了一个关于AWS的问题,即跟踪由EC2实例或应用程序处理的原始IP或客户端IP。
我感到困惑,因为在VPC流日志、云跟踪日志和ELB日志中可以看到原始IP或客户端IP。
例如,下面是我在模拟测试中遇到的一个问题:
应用程序在应用程序负载均衡器(ALB)后面的亚马逊EC2实例上运行。这些实例在跨多个可用性区域的自动缩放组中运行。信息安全小组希望跟踪原始IP和处理请求的EC2实例的应用程序请求。下列哪一种工具或服务提供此信息?
AWS CloudTrail
弹性负载平衡访问日志
VPC流量日志
浏览 0提问于2020-12-03得票数 0
1回答
我想将我的微服务配置为只接受内部流量。所谓“内部流量”,我指的是在同一项目中运行的其他App Engine服务。
这个是可能的吗?什么是内部流量?
当我将入口设置为仅内部流量时,无法从其他应用程序引擎服务访问我的服务。
PS。我使用vpc_access_connector从计算引擎进行连接
浏览 2提问于2021-09-27得票数 0
VPC控件支持的Google和服务基于支持的产品和可用的限制,包括Pub/Sub、云监视和云日志记录。
然而,这里提供的有关为可用的的本地主机配置私有谷歌访问的相关文档有Pub/Sub、监视和日志记录,列在“使用私有Google 达到但不受VPC 保护”下。
我在读这篇文章时很困惑。Pub/Sub访问(以及监视和日志记录)是否可以通过VPC服务控件来保护?
编辑上传图像
新的屏幕,允许选择PubSub作为受限制的服务之一。
浏览 6提问于2020-03-25得票数 0
回答已采纳
1回答
我们在VPC网络的子网subA中有一个Google管理的Kubernetes集群,然后我们也有一个子网络subB不同的区域作为VPC的一部分。Kubernetes集群启用了VPC别名,因此服务范围和吊舱范围实际上也是VPC的子网络(相同的本地空间10.0.0.0/8)。
我们希望使kubernetes服务(带有内部负载均衡器)驻留在subA上,并可由subB访问。我们设法使subA和subB上的实例可以通过防火墙规则彼此访问,但这些实例只针对网络(而不是子网络)、服务帐户或标记,因此不能用于负载平衡器。
有什么线索吗?
浏览 0提问于2018-06-14得票数 0
H3C防火墙和腾讯云IPSEC的VPN打通,云上PING不通云下,但是云下可以PING通云上内网,请问怎么处理?
浏览 375提问于2023-08-09
1回答
我有一个专用的M2M GSM网络,用于我的公司设备。我想从我的设备发送流量到AWS,但是M2M提供商不允许从它的sim卡访问互联网,它只提供与专用网络的IPSec连接。
现在,我在将IPSec连接配置到AWS上时遇到了问题,我的sims可以成功地平分我的AWS中的所有实例。然而,我想要的是我的模拟人生访问AWS IOT。
我所做的:
我用配置了我的虚拟专用网。我有一个带有CIDR 192.168.0.0/24的公共网络和一个带有CIDR 192.168.1.0/24的专用网络。我的VPN有一个静态路由CIDR 10.1.128.0/14用于我的M2M网络。
然后,我在公共网络中启动了一
浏览 3提问于2018-04-17得票数 0
回答已采纳
我正在评估Dialogflow ES Trail,并创建了一个代理,并实现了对这些功能的探索。 为此,我已经在实现中的Dialogflow控制台中配置了应用程序服务,并为托管在我们的安全网络和环境中的服务指定了应用程序端点URL。当特定意图与启用了实现的意图匹配时,它将调用已配置的服务,但会出现故障"Dialogflow fulfillment error: Webhook call fiede. Error: DEADLINE_EXCEEDED“。因为这个请求在我们的防火墙上被阻止了。请注意,我们没有托管在google云平台上,也没有使用其他云服务,而且我们使用的是具有自定义规则的
浏览 30提问于2021-05-07得票数 1
为什么GCP云NAT需要BGP/云路由器?
📷
云路由器文档
云路由器使您能够使用边界网关协议(BGP)在虚拟私有云(VPC)和现场网络之间动态交换路由。
云NAT概述
您可以在云路由器上配置NAT网关,它为NAT提供控制平面,包含您指定的配置参数。每个云NAT网关都与单个VPC网络、区域和云路由器相关联。
据我所知,NAT在私有地址/端口之间映射到公共ip/端口,并将映射的数据包转发到Internet网关(以便进入Internet)。在这张图片中,BGP (云路由器)在哪里和为什么会发挥作用?
浏览 0提问于2021-09-25得票数 1
我试图在客户管理的vpc (AWS)环境中在databricks中创建一个集群。创建了前端和后端端点。群集以消息‘NPIP隧道设置失败’而终止。看着日志,它抛出等待Ngork隧道故障。
浏览 9提问于2022-08-02得票数 1
2回答
在Google上,我们使用以下内容:
连接到
运行在GCE上的服务
通过VPC访问连接器
它已经运行了几个月,然后突然停止工作,所有连接到服务的尝试都会导致云函数日志中出现以下错误:
连接到10.X.X.X超时。(连接timeout=10)
该IP地址是VM的IP地址。
此时,我不知道如何诊断这个问题,因为GCE网络对我来说并不熟悉。我应该在云日志中搜索什么来尝试确定问题的根源?
浏览 10提问于2022-06-22得票数 0
回答已采纳
我有一个项目设置,在这里我可以通过AppEngine灵活的实例连接本地资源,在VPC网络上启动VPC网络,这个网络是通过到本地防火墙的Cloud连接来建立的。
随着release 1区域的Serverless VPC的发布,我想要替换我的设置,使用AppEngine标准Gen2实例而不是灵活地节省成本。我为我的AppEngine应用程序所在的区域/网络设置了一个无服务器VPC,配置了我的Cloud连接,相应地更新了我的app.yaml,并推出了一个新版本。
对于试图使用Serverless VPC连接到本地资源的新版本,我一直会收到超时错误。
一些背景:
VPC网络被命名为“门户”,并设置为“
浏览 4提问于2019-09-30得票数 0
回答已采纳
我试图用防火墙规则(源ip)来保护服务帐户(google-云平台),但它不起作用。显然,服务帐户与防火墙规则或VPC没有关联(在同一个项目中)。如何将VPC或防火墙规则与服务帐户相关联?或者我做错了什么。
浏览 0提问于2020-05-21得票数 1
2回答
我有很多程序可以解析IIS访问日志并将它们保存在关系数据库(MySQL或MySQL)中。
我正在寻找一个良好的界面,将允许我查询这些日志。
例如,当我们的服务器错误日志显示应用程序中有异常时,它包含用户的IP地址。我希望有一个程序/网络接口,在那里我可以输入有关请求的信息(如IP地址、时间、url等)。它将给我与该请求相关的所有日志行(该请求之前和之后)。
或者,一个日志管理系统,可以负责自动检索和自动处理它也可能工作。
我使用了Awstats从日志文件中获取统计信息,并且我知道它可以从活动日志文件中提取行,并记住下一次运行时它在文件中的位置。(如果我错了,你可以纠正我,但我不认为Awst
浏览 0提问于2011-08-02得票数 0
回答已采纳
1回答
我们想知道是否有可能将我们的本地防火墙作为AWS VPC中私有实例的NAT实例,用于出站互联网访问(例如获取更新)?
我们目前已经实施了AWS VPC方案4。
谢谢!!
浏览 1提问于2017-08-11得票数 0
当完全托管云运行连接到带有的VPC时,来自云运行的所有出站通信是通过该连接器,还是只发送给RFC 1918地址?
如果仅针对私有If,如何配置云运行以将其所有出站请求发送到VPC?
(注:使用云函数,可以选择通过连接器- 路由所有流量或只路由私有IP)
浏览 4提问于2020-06-23得票数 0
回答已采纳
我有一个实例,我尝试打开端口3000 (从VPC网络/防火墙规则),以便它是可见的(按照文档中指出的步骤)。但是,我做不到。
这个平台是Debian 9。
浏览 0提问于2019-11-23得票数 0
我的Lambda函数需要使用AWS秘密管理器的凭据连接到RDS。以下是我所做的事情:
创建Lambda函数并与VPC相关联(例如。并创建了一个单独的安全组(Lambda)。
RDS也在同一个VPC中,可以从Lambda函数访问。
为秘密管理器服务创建了VPC端点,以便Lambda函数可以连接到它。
Lambda函数无法连接到AWS秘密管理器并超时。
任何决议都会有帮助。如果我删除了VPC,那么它是可以访问的,但是我需要VPC来连接到RDS实例。无法使用NAT网关,因为云环境策略将不允许任何Internet连接。
浏览 4提问于2020-12-18得票数 2
实际上,我正在制作一个日志分析器,用于通过不同的users.So在网络上下载,我想知道是谁在同一个网络中下载了什么,我知道SSL数据包不能被监听,但我只想要不受SSL保护的下载。
浏览 0提问于2014-04-10得票数 2
回答已采纳
我试图使用VPC端点网关通过VPC端点网关将流量从RDS网络接口路由到S3,从而将所有流量保持在VPC内。
但是,我似乎无法连接!我甚至遵循了中的说明。
存在到S3前缀列表的路由,其目的地设置为VPC端点网关。终结点策略允许一切,如演示.中所示。
我甚至从RDS网络接口到VPC端点网关创建了一个Reachability。
我从分析器收到一些错误消息,但无法理解如何纠正它们:
A.路由表$route-table中的从$prefix-list到gatewayId的路由不能传输数据包,因为数据包的目的地地址与$prefix-list不匹配。VPC网关端点$vpc-gateway-endpoint只
浏览 10提问于2021-12-01得票数 1
2回答
我有一个包含两个子网(VPC₁和VPC₂)的GCP项目。在VPC₁中,我有几个GCE实例,在VPC₂中,我有一个GKE集群。
我已经在两个VPC之间建立了私有网络对等,POD₁的host节点可以到达VM₁,反之亦然。现在我希望能够从POD₁内到达VM₁,但遗憾的是我似乎无法到达。
这是关于在POD₁上创建适当的防火墙规则/路由的问题,也许使用它的主机作为路由器,或者我还需要做其他事情?如何实现该实例与GCE实例的互通?
浏览 19提问于2017-06-23得票数 2
回答已采纳
1回答
在我公司的AWS云中,我们有4个VPC,每个主要API环境(开发、测试、阶段、prod)都有一个。为了使这些环境尽可能相似,它们都将它们的CIDR块设置为10.0.0.0/16。
现在,我们需要在这些环境之间创建一个共享的内部服务。为了便于讨论,假设这个新服务存储来自所有这些环境的日志数据。此服务存在于自己的VPC中,CIDR块为10.1.1.0/24。
起初,我想我可以简单地将来自所有环境VPC的窥视连接添加到日志VPC中。不过,当我开始设置路径表时,我遇到了一个障碍。我从Dev ->日志记录中创建了一个路由表,该日志记录将所有通信量路由到目的地10.1.1.0/24。但是,我仍然无法
浏览 0提问于2017-07-19得票数 2
回答已采纳
我在google云中建立了一个VPC网络,运行了几个实例。其中一个实例充当VPN机器,允许我与来自internet的实例进行交互。
我想捕捉流量:
从互联网到VPC网络。为此,我只需在vpn机器上使用tcpdump。
内部,即实例之间的数据包。我不知道该怎么做。我不能依赖我的实例(在我的例子中,直接在它们中使用tcpdump不是一个选项)。相反,因为在VPC中没有“真正的”网络层2,因为它是虚拟化的,我本来希望能够以某种方式进入云路由器并从那里捕获所有的数据包,但这似乎是不可能的。还是真的是这样?
有人知道我在这里能做什么吗?会很感激的。谢谢!
浏览 0提问于2017-09-05得票数 1
我在一个App灵活环境项目中部署了一些服务。服务实例运行在同一个VPC网络中(不是默认的),该网络是在它们的app.yaml文件中指定的,并且是从同一子网分配的IP地址。默认情况下,这两个服务都可以从外部访问,我希望将防火墙规则配置为只保留允许传入通信量的默认服务。
因此,作为第一步,我将配置一个规则来拒绝此VPC中所有实例的所有入口,其思想是创建另一个具有更高优先级的规则,以便只允许一个运行默认服务的实例的通信量。
问题是,当我创建一个优先级为1001的防火墙规则来阻止所有传入流量时,我的默认服务仍然会收到请求。但是,如果我指定优先级为1000或以下,则通信量将被阻塞,并得到502 Serv
浏览 2提问于2017-11-17得票数 5
我有一个gke集群,我已经为集群VPC设置了云NAT和All subnets' primary and secondary IP ranges。
但是当我转到www.ifconfig.me时,它会显示运行pod的虚拟机的IP地址。
知道如何让流量路由到我的云NAT地址吗?
浏览 0提问于2021-09-10得票数 0
什么是GKE集群中的VPC Native?
VPC Native关闭的GKE集群是否限制内网IP连接云SQL?我们有一个关闭了VPC Native的GKE集群,我们在云sql中有白名单的GKE集群,即使发布连接失败。
另外,内网GKE集群连接云sql的推荐方式是什么?假设我们有一个从AWS迁移到GKE的应用程序,我们不想构建云代理。
浏览 0提问于2020-07-20得票数 2
在查看我的iptable时,我注意到我的服务器发送了122 k数据包(16 my )。我不知道这些是什么,因为我没有任何服务,我知道在我的服务器上除了DNS (客户端)之外使用udp。我有一个邮件服务器,我知道它是通过dns和rbl的udp的大量用户。
是否有一种简单的方法来确定我的出站udp流量是否合法?
浏览 0提问于2019-02-24得票数 0
1回答
我有两个用于内外网访问的自定义私有网络:VPC1(内网)和VPC2(公网)。每个私有网络都有一个子网和另外一个具有适当入站规则的EC2。我能够在公共EC2中更新软件,这是绝对好的。此外,我能够在VPC对等后在这两个Ec2之间建立SSH连接。但我的目标是通过公共EC2在pvt EC2上使用互联网。为了实现这一点,我必须将VPC2的NAT网关添加到VPC1的路由表中(如果我没有错的话)。但是,NAT网关在VPC2-routetable上不可见。但是,如果两个子网都在一个VPC内,我可以在内网和公网之间使用NAT-gateway。但是,当它们在两个不同的VPC中时,我正在苦苦挣扎。有什么建议吗?
浏览 1提问于2021-01-15得票数 0
我读过这个。这部分让我很困惑。
每个防火墙规则都适用于传入(入口)或传出(出口)连接,而不是两者都适用。
再往下一段
VPC防火墙规则是有状态的。当允许通过防火墙进行任意方向的连接时,也允许返回与此连接匹配的流量。无法配置防火墙规则以拒绝关联的响应通信量。
基于以上所述,我认为连接和交通方向并不是同一回事,这是否正确呢?
在GCP中,入口方向是默认的。如果我们不指定一个方向,则应用于实例的防火墙规则仅适用于入口方向。那么,当防火墙规则只在一个方向上应用时,返回流量如何匹配呢?
浏览 15提问于2021-04-24得票数 2
回答已采纳
1回答
我有一个在内部ip 10.132.0.3上运行Redis的VM实例,它的外部ip是35.233.12.123,我想通过google云功能连接到它。但是没有通过内部ip连接,而通过外部ip连接工作。据我所知,Google的云功能无法通过内部ip地址访问VPC网络和我在其中的实例。所以问题是:
是否可以通过内部ip从云函数访问VM实例?
外部ip属于google,所以流量不应该超出google的数据中心,我想。那么,如果在我的情况下使用外部ip,这会影响连接速度吗?交通会被标榜为外部交通吗?通过外部ip连接到Redis实例有哪些缺点?
浏览 2提问于2018-11-01得票数 2
1回答
我已经收到了“从美洲到APAC的计算机引擎网络互联网均衡器”的账单,每月收费60-70美元(500-600GB)。我的实例都在us-central1中。
在我的日志中,我已经在我的http服务中看到了大量一次性的探测,但是没有类似于这样的卷。只是一个文字请求-不时按下管理资源。
我也看到了一批批被拒绝的ssh尝试。在我的账单上看到这一行之前,我并不太担心他们。这些ssh尝试是否有可能达到出口流量的总和?
目前,我的防火墙只允许https通过负载均衡器,并且可以从任何地方获得ssh。其他默认值也仍然有效--ICMP来自anywhere,RDP来自任何地方(我不使用RDP)。
我想有一个更好的想法
浏览 0提问于2018-03-07得票数 4
我是一个小型MSP,试图通过基于云的日志服务器SaaS提供者为我的客户启动一个日志解决方案。但是,我并不理解,根据我从我测试过的各种产品中所读到的任何说明,我可以实际完成任务。
我有SonicWALLs,Dell开关,Juniper开关,等等,我需要每天发送日志。我看到他们在GUI中为您的syslog服务器提供了一个位置(尽管我试图通过CLI来学习/完成这一点),但是我没有收到任何日志。
是否有某种类型的文件需要在开关本身中编辑?我注意到其中一个开关上有一个syslog文件。
浏览 0提问于2016-11-29得票数 1
回答已采纳
我使用代理连接到cloud实例,使用一个工作的Cloud连接运行一个云运行服务。Cloud实例没有配置私有IP。
现在有了一个新的要求,即该服务需要连接到GCP之外的DB,它需要一个可以白化的静态出口-IP。我试图通过一个无服务器的VPC连接器()来实现这一点。
问题:当我将vpc-连接器添加到服务中,并将其配置为通过vpc-连接器路由所有流量时,服务无法部署,因为它无法通过代理连接到Cloud:
CloudSQL connection failed. Please see https://cloud.google.com/sql/docs/mysql/connect-run for addi
浏览 2提问于2021-05-12得票数 2
1回答
记录 Bucket 上所有访问日志。我的一个 Bucket 突然消耗流量很大,我想要知道是那些文件消耗流量大?但是腾讯云COS概览只能看出流量大小,监控数据中也不能看到哪些 URL 使用流量大。这个该怎么查看?
浏览 648提问于2019-05-17
回答已采纳
2回答
我知道如何通过下面的EC2连接到https://aws.amazon.com/premiumsupport/knowledge-center/vpc-connect-instance/实例
我想问一下,在AWS VPC互联网网关中有没有流量方向的概念?为什么我们将0.0.0.0/0设置为目标,将IGW设置为我的公共子网的目标,然后我们可以将ssh设置为EC2主机?在我看来,这条路线就像一个出站流量设置。从VPC的角度来看,ssh到EC2看起来是入站的。
0.0.0.0/0意味着两个方向?
浏览 0提问于2021-06-24得票数 1
我有一个Springboot应用程序作为kubernetes部署运行,使用GCP提供的默认入口控制器公开为kubernetes NodePort Service。问题是我在访问服务的端点时遇到了502个错误。云日志报告为backend_response_corrupted错误。但是,如果我将端口转发到服务,我就不会遇到这个问题。我该如何着手检查导致错误的原因?
任何帮助都将不胜感激!
浏览 4提问于2021-04-15得票数 0
1回答
tl;我们正经历着内部谷歌云负载均衡器背后的服务问题,当响应超过一定的大小时,无法回复。在一些tcpdump‘in和wireshark’in上,我们的站点对站点ipsec VPN实例似乎无法将ICMP“所需”的数据包发送回GCLB,从而导致响应被卡在TCP重传循环中。
详细信息
我们有一个点对点的IPSec隧道设置一个GCP和我们的现场网关.我们在VPC中有一些vm实例,我们创建了内部GCLB ()来执行这些服务。但是,我们注意到,当服务的响应超过一定的大小时,对GCLB的curl请求(来自我们的内部网络)会被阻塞,并最终超时。
我在GCP中的VPN实例(运行ipsec的实例)上执行了tcpd
浏览 0提问于2018-10-16得票数 1
回答已采纳
抱歉,标题不太好.
我在A区有一个Google (GC) VPC子网10.1.1.0/24,它的OpenVPN访问服务器位于10.1.1.2。OpenVpn访问服务器为云之外的客户端提供远程访问。客户端从192.168.3.0/24子网分配IP,路由方法可以是NAT,也可以是路由(Open访问服务器设置)。
我在B区有一个GC VPN网关(经典),在C区有另一个GC VPN网关(经典)。
从远程站点到GC VPN网关的隧道是由远程站点“指定”的,即路由方法是基于策略的,远程站点决定云(本地)子网必须是什么。所以:
从远程站点B到GC VPN网关B的隧道策略是10.2.2.0/24 (远程) &
浏览 0提问于2021-03-21得票数 0
1回答
因此,我有一个私有Kubernetes集群托管在云VPC网络内的GKE上,本质上与中讨论的相同。
现在我已经在集群中设置了一个Nginx入口,并设置了注释:
annotations:
cloud.google.com/load-balancer-type: "Internal"
这似乎是可行的,因为它最终会在VPC子网范围内分配一个内部IP地址。
问题:
如何将云NAT网关的传入流量转发到Nginx LoadBalancer服务的内部IP?
如果可能的话,我想让入口和出口都发生在链接到云NAT的同一个IP上(这样我就不必在外部公开LoadBalancer服务)。
谢谢!
浏览 2提问于2019-06-01得票数 1
目标
我的目标是从AWS EKS集群中运行的吊舱连接到RDS (Postgres)数据库。我使用Terraform来提供服务,但不一定要寻找Terraform代码解决方案。
我试过的
我已经创建了数据库(减少了密码、username...etc等设置)。像这样:
resource "aws_db_instance" "rds-service" {
name = "serviceDB"
engine = "postgres"
db_subnet_group_
浏览 2提问于2020-12-22得票数 1
回答已采纳
最近,我遇到一个案例,我试图使用Microsoft PNRP技术在两个应用程序之间建立p2p连接。一个应用程序在Lan上,另一个应用程序在相同的Lan (不同的计算机,但相同的服务提供商)上,但在WiFi路由器后面。因为,我在各自系统上的所有云(全局和本地链接)中注册了两个对等点,但当我尝试解析另一个时,我找不到各自的对等点。据我所知,这些节点必须是可发现的,因为我也在全局云(Internet)中注册了它们。如何实现上述场景?
浏览 2提问于2012-10-24得票数 1
回答已采纳
1回答
因此,我正在为SOCKS5连接制作一个WebSocket代理,并在DO中对一些VM进行一些HTTP调用。这个想法是,来自K8S集群的流量将通过代理,这样我就可以在终端服务上白名单IP。我创建代理是因为DigitalOcean还没有CloudNAT或类似的特性。
我还制作了两个用于冗余的代理服务器,并将使用定速器+cor产c。要实现这一点,我必须使用DigitalOcean保留(浮动)IP功能。因此,代理将始终连接到公共IP,而我不能在VPC中这样做,在VPC中,代理只能接受来自专用网络的连接。
所以我的问题是-基本的用户名认证是否足够安全?这是我的但丁配置。
logoutput: syslog
浏览 0提问于2022-08-01得票数 0
1回答
我能否在Google平台中定义一个自定义网络,以便在我的VPC中获得与硬件交换机上配置的端口镜像相当的行为?
其目标是嗅探VPC中的所有通信量,以便进行网络调试或部署网络入侵检测系统。
我不打算部署堡垒主机,也不打算使用NetFlow。
浏览 0提问于2018-09-29得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
