使用流日志监控混合云专线资源使用

功能简介

高速通道物理专线

阿里云高速通道可在本地IDC和云上VPC间建立高速、稳定、安全的私网通信。

高速通道的物理专线数据传输过程可信可控，避免网络质量不稳定问题，同时可避免数据在传输过程中被窃取。

流日志

VPC流日志可以捕获指定弹性网卡（Elastic Network Interfaces，ENI）、指定VPC或者交换机中所有弹性网卡的流量。

适用场景

使用流日志监控混合云专线资源使用，主要适用于以下场景：

• 网络优化：通过分析流日志，您可了解不同业务对物理专线资源的使用情况，为网络资源规划提供依据，确保关键业务的网络性能。

• 安全审计：流日志可以帮助您检测潜在的安全威胁、发现网络异常行为，提前采取措施避免故障发生，或在发生安全风险后快速排查网络故障。

• 成本管理：混合云架构下，了解不同业务对资源的使用情况有助于精确地计算云服务成本，帮助您优化成本结构。

准备工作

• 在阿里云华东1（杭州）地域，通过高速通道物理专线实现本地IDC连云上VPC，实现本地IDC服务器对云上VPC内创建的ECS实例的访问。具体操作，请参见本地IDC通过专线访问云服务器ECS。

  说明

  本文示例中需要将VBR、VPC1和VPC2加入到云企业网中。加入后，VPC和VBR实例的路由条目会自动发布到云企业网中，VPC和VBR实例能从云企业网中学习对方的路由。

• 本文示例中的网段规划如下表所示。您也可以自行规划网段，请确保网段之间没有重叠。

  资源	网段规划	服务器或客户端地址
  本地IDC	10.1.1.0/24	客户端地址：10.1.1.70
  VPC1	192.168.20.0/24	ECS01实例：192.168.20.5 ECS02实例：192.168.20.6 ECS03实例：192.168.20.7
  VPC2	192.168.10.0/24	ECS04实例：192.168.10.75 ECS05实例：192.168.10.76 ECS06实例：192.168.10.77
  VBR	VLAN：1 阿里云侧IPv4互联IP：10.0.0.1 客户侧IPv4互联IP：10.0.0.2 IPv4子网掩码：255.255.255.252	不涉及

• 创建流日志前，您需要在日志服务产品页开通日志服务。

操作步骤

步骤一：创建流日志

按照以下步骤分别为VPC1和VPC2创建流日志，捕获VPC中所有弹性网卡的流量。

1. 登录专有网络管理控制台。

2. 在左侧导航栏，单击运维与监控>流日志。在顶部菜单栏，选择华东1（杭州）地域。

3. 在流日志页面，单击创建流日志，根据以下信息配置流日志。

   配置项	说明
   资源类型	选择要捕获流量的资源类型，本文选择专有网络。
   资源实例	选择要捕获流量的资源实例。本文分别选择VPC1和VPC2。
   流量类型	选择要捕获流量的类型，本文选择全部流量。
   项目（Project）	选择存储捕获流量的项目，VPC1选择新建 Project，VPC2选择VPC1创建的项目。
   日志库（Logstore）	选择存储捕获流量的日志库，VPC1选择新建 Logstore，VPC2选择VPC1创建的日志库。
   开启流日志分析报表功能	本文选择开启该功能。

步骤二：查看流日志

1. 在流日志页面，找到目标流日志，单击日志库名称的链接。

2. 根据下图示例顺序，查看不同业务（不同VPC）流入本地IDC的流量情况。

   序号	步骤描述
   ①	输入以下SQL语句对日志进行聚合和排列，查看不同VPC流入本地IDC流量的占比情况： action: ACCEPT and srcaddr: 192.168.* and dstaddr:10.1.* | WITH vpc1_traffic AS ( SELECT date_trunc('minute',__time__) AS minute, SUM(bytes*8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) AS total_vpc1_traffic FROM log WHERE srcaddr LIKE '192.168.10.%' GROUP BY date_trunc('minute',__time__) ), vpc2_traffic AS ( SELECT date_trunc('minute',__time__) AS minute, SUM(bytes*8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) AS total_vpc2_traffic FROM log WHERE srcaddr LIKE '192.168.20.%' GROUP BY date_trunc('minute',__time__) ) SELECT COALESCE(vpc1_traffic.minute, vpc2_traffic.minute) AS minute, (COALESCE(vpc1_traffic.total_vpc1_traffic, 0) * 100/ NULLIF((COALESCE(vpc1_traffic.total_vpc1_traffic, 0) + COALESCE(vpc2_traffic.total_vpc2_traffic, 0)), 0)) AS vpc1_percentage, (COALESCE(vpc2_traffic.total_vpc2_traffic, 0) * 100/ NULLIF((COALESCE(vpc1_traffic.total_vpc1_traffic, 0) + COALESCE(vpc2_traffic.total_vpc2_traffic, 0)), 0)) AS vpc2_percentage FROM vpc1_traffic FULL OUTER JOIN vpc2_traffic ON vpc1_traffic.minute = vpc2_traffic.minute ORDER BY minute 该SQL语句定义了时间minute、VPC1流量占比vpc1_percentage、VPC2流量占比vpc2_percentage三个参数，并按minute从小到大排序。其他参数说明如下： dstaddr：本地IDC的网段。 srcaddr：源地址网段，即不同VPC网段。 其余字段请参照示例值输入。
   ②	选择要查看流日志的时间。
   ③	单击统计图表页签，单击图标选择线图 Pro格式。
   ④	在查询分析配置区域，设置以下参数信息： x轴字段：设置为minute。 y轴字段：设置为vpc1_percentage和vpc2_percentage。 在标准配置区域，设置格式化为percent(1-100)。 其余参数保持默认值。
   ⑤	单击查询/分析，即可查看不同业务（不同VPC）流入本地IDC的流量情况。

相关文档

• 如果您想要了解VPC流日志捕获的具体字段信息，请参见流日志概述。

• 如果您在查询流日志过程中，出现报错信息，请参见查询与分析日志的常见报错。

• 如果您想了解查询和分析日志的更多信息，请参见查询和分析日志。