[新产品/新功能] 使用 VPC 流日志和 Flow Analyzer 洞悉跨云网络流量

**发布时间:** 2025-12-02 **厂商:** GCP **类型:** BLOG **原始链接:** https://cloud.google.com/blog/products/networking/vpc-flow-logs-for-cross-cloud-network ---  [新产品/新功能] 使用 VPC 流日志和 Flow Analyzer 洞悉跨云网络流量   # 产品功能分析 ## 新功能/新产品概述 GCP将其核心网络监控服务 **VPC Flow Logs** 的能力从VPC内部扩展至混合云与多云连接的关键边界组件。该功能允许用户直接在 **Cloud VPN** 隧道以及用于 **Cloud Interconnect** 和 **Cross-Cloud Interconnect** 的 **VLAN attachment** 上启用流日志，从而捕获进出Google Cloud的流量数据。其技术原理是在这些网络网关上捕获流量的元数据（**五元组**信息：源/目的IP、源/目的端口、协议），并结合新增的 **网关注解**（gateway annotations）生成结构化日志。这些注解为每条日志流提供了流量方向和网关身份的上下文信息，极大地增强了日志的可分析性。该功能的目标用户是管理复杂混合云与多云网络环境的网络工程师、云架构师和安全运维人员。其市场定位是为GCP的 **Cross-Cloud Network** 解决方案提供一个统一、原生的网络流量端到端可见性工具，以应对日益复杂的跨云网络监控挑战。 ## 关键客户价值 - **提供端到端的流量可见性** - 将日志监控范围从VPC内部扩展到连接本地数据中心（on-prem）和其他云的边界，实现了对混合网络流量的全面监控。 - 相较于竞品通常需要依赖第三方工具或在边界虚拟机上抓包的复杂操作，GCP的方案直接在托管的互联链路上提供原生日志能力，显著简化了架构和运维。 - **优化网络性能与成本管理** - 通过识别“大象流”（**elephant flows**），帮助管理员快速定位并处理可能拥塞特定 **VPN** 隧道或 **VLAN attachment** 的高带宽流量，从而进行精准的容量规划。 - 在 **Shared VPC** 环境下，能够精确审计哪个服务项目（service project）消耗了最多的混合云带宽，为跨部门的成本分摊和资源优化提供了直接的数据依据。 - **简化故障诊断与排查** - 当本地或跨云应用无法访问GCP资源时，可直接通过日志确认流量是否已到达GCP侧的网关，极大缩短了故障定位时间，避免了在多个网络分段中盲目排查。 - 能够将宏观的带宽利用率图表直接映射到具体的应用流，帮助运维人员精确理解混合连接在特定时间点的具体使用情况。 - **增强网络策略验证能力** - 允许用户监控和验证应用流量是否正确标记了 **DSCP**（Differentiated Services Field Codepoints），确保基于应用感知的 **Cloud Interconnect** 服务质量（QoS）策略能够正确生效。 ## 关键技术洞察 - **引入网关级日志上下文注解** - 这是本次更新的核心技术创新。通过在流日志中增加 `reporter` 和 `gateway object` 两个新字段，为原始流量数据注入了关键的上下文信息，使其具备了“自解释”能力。 - `reporter` 字段明确指明了流量相对于网关的方向（`SRC_GATEWAY` 表示进入GCP，`DEST_GATEWAY` 表示离开GCP），从根本上解决了传统流日志在混合场景下流量方向模糊的问题。 - `gateway object` 字段以JSON格式提供了网关的完整元数据（名称、类型、项目ID、位置），使日志分析的自动化和流量溯源变得极为便捷，无需再跨系统关联信息。 - **与AI驱动的分析工具深度集成** - 新功能与GCP原生的 **Flow Analyzer** 工具无缝集成，用户无需编写复杂的SQL查询即可对海量流日志进行深度分析，例如快速识别“Top Talkers”。 - 通过集成 **Gemini Cloud Assist**，支持使用自然语言来构造查询，这极大地降低了网络遥测数据的分析门槛，使得非网络专家也能快速洞察网络行为，代表了网络监控从“人找数据”到“AI辅助分析”的演进方向。 - **无侵入式的原生数据采集** - 该功能直接在GCP托管的网络基础设施（**Cloud VPN** 和 **Cloud Interconnect**）上启用，对用户的应用和网络架构完全透明，无需在用户侧部署代理（Agent）或进行复杂的旁路流量镜像配置，实现了对混合流量的无侵入式、全覆盖监控。   # 使用 VPC 流日志和流分析器获取跨云网络流量洞察 **原始链接:** [https://cloud.google.com/blog/products/networking/vpc-flow-logs-for-cross-cloud-network](https://cloud.google.com/blog/products/networking/vpc-flow-logs-for-cross-cloud-network) **发布时间:** 2025-12-02 **厂商:** GCP **类型:** BLOG --- 网络 # 使用 VPC 流日志和流分析器获取跨云网络流量洞察 2025 年 12 月 2 日 ##### Mary Colley 产品经理 ##### Neha Chhabra 产品经理 ##### 试用 Gemini 3 我们最智能的模型现已在 Vertex AI 和 Gemini Enterprise 上提供 [立即试用](https://console.cloud.google.com/vertex-ai/studio/multimodal) 洞察您的网络流量至关重要，尤其是在包含本地 (on-premises) 和跨云基础设施的混合环境中。长期以来，[VPC 流日志 (VPC Flow Logs)](https://cloud.google.com/vpc/docs/flow-logs) 一直是获取进出及贯穿您 Google Cloud 子网的网络流量详细记录的主要工具。但随着 [跨云网络 (Cross-Cloud Network)](https://cloud.google.com/solutions/cross-cloud-network) 催生了更复杂的网络拓扑，我们意识到需要扩展 VPC 流日志的功能，以便为您提供更全面的视图。因此，我们很高兴地宣布，您现在可以直接在 [Cloud VPN 隧道](https://cloud.google.com/vpc/docs/using-flow-logs#enable-vpn-tunnel) 和用于 Cloud Interconnect 及 Cross-Cloud Interconnect 的 [VLAN 连接 (VLAN attachments)](https://cloud.google.com/vpc/docs/using-flow-logs#enable-vlan-attachment) 上 **启用 VPC 流日志**。这一增强功能可以全面监控在您的本地基础设施、跨云资源和 Google Cloud 之间流动的关键网络流量。借助这项新功能，您可以： - **获得细粒度洞察：** 以 5 元组粒度 (源/目的 IP、源/目的端口、协议) 记录通过 Cloud Interconnect 和 Cloud VPN 的网络流。 - **优化性能：** 快速识别可能拥塞特定 VPN 隧道或 VLAN 连接的“大象流” (elephant flows) (高带宽流)，从而更好地规划和管理容量。 - **审计共享 VPC (Shared VPC) 使用情况：** 在 [共享 VPC](https://docs.cloud.google.com/vpc/docs/shared-vpc) 环境中，识别哪些服务项目消耗了最多的混合带宽。 - **将利用率映射到流量：** 通过将高层级的带宽图表映射到具体的应用流量，准确了解您的混合连接是如何被利用的。 - **诊断连接问题：** 当本地/跨云应用程序无法访问 Google Cloud 资源时，使用日志来检查流量是否已到达 Google Cloud 网关 (VLAN 连接或 VPN 隧道)。 - **在 Cloud Interconnect 策略配置上微调您的应用感知能力：** 监控并验证您的应用程序是否正确标记了 [差分服务代码点 (differentiated services field codepoints)](https://docs.cloud.google.com/network-connectivity/docs/interconnect/how-to/cci/configure-traffic-differentiation) (DSCP)。为了给这些流量提供更多上下文信息，我们还向 VPC 流日志中添加了“网关 (gateway)”注释。您可以将网关看作是流量在您的 Google Cloud VPC 和外部网络之间穿行的入口或出口点。当您检查跨云网络流量的流日志时，现在会看到两个关键的 [新字段](https://cloud.google.com/vpc/docs/about-flow-logs-records#gateway-details) ： 1. **reporter**：该字段告诉您流量相对于网关的方向。 - **SRC_GATEWAY**：观测到流量通过 Cloud Interconnect 或 Cloud VPN 进入 Google Cloud (例如，从本地到 Google Cloud)。 - **DEST_GATEWAY**：观测到流量通过 Cloud Interconnect 或 Cloud VPN 离开 Google Cloud (例如，从 Google Cloud 到本地)。 2. **gateway 对象**：这个 JSON 负载提供了网关本身的完整上下文，包括其名称、类型 (VPN_TUNNEL 或 INTERCONNECT_ATTACHMENT)、project_id 和位置。 ### **使用流分析器分析您的日志** 为了帮助您在不编写复杂 SQL 查询的情况下分析流日志，我们还将新的网关注释直接集成到了 [流分析器 (Flow Analyzer)](https://cloud.google.com/network-intelligence-center/docs/flow-analyzer/overview) 中。这是一个原生工具，可以对存储在 Cloud Logging 中的 VPC 流日志进行深度网络流量分析，且无需额外费用。使用流分析器，您可以： - 以 5 元组粒度快速识别网络中的主要通信者 (top talkers)。 - 在上下文中 [运行连接性测试 (Connectivity Tests)](https://cloud.google.com/network-intelligence-center/docs/flow-analyzer/run-connectivity-tests) ，以了解您的配置 (如防火墙策略) 如何影响流经网络的流量。 - 使用 Gemini Cloud Assist 构建 [自然语言查询](https://cloud.google.com/network-intelligence-center/docs/flow-analyzer/write-queries-gemini) 。 - 分析当前网络流并与历史数据 (例如，上一小时、一天或一周) 进行比较。 ![https://storage.googleapis.com/gweb-cloudblog-publish/original_images/IC_GIF_200000.gif](https://storage.googleapis.com/gweb-cloudblog-publish/original_images/IC_GIF_200000.gif) 流分析器提供 Cloud Interconnect 流量洞察 ### **实现跨云网络的基本可见性** 如果您正在运行一个跨云网络，在您的 VLAN 连接和 VPN 隧道上启用 VPC 流日志可以为您提供管理、保护和扩展互联网络所需的基本遥测数据。您可以使用 CLI、API、Terraform 或直接从 [Google Cloud 控制台](https://console.cloud.google.com/networking/vpc-flow-logs) 在您新的和现有的 [VLAN 连接](https://cloud.google.com/vpc/docs/using-flow-logs#enable-vlan-attachment) 和 [VPN 隧道](https://cloud.google.com/vpc/docs/using-flow-logs#enable-vpn-tunnel) 上启用此功能。要了解更多信息，请查阅 VPC 流日志 [文档](https://cloud.google.com/vpc/docs/flow-logs) 或开始使用 [流分析器](https://console.cloud.google.com/net-intelligence/flow-analyzer) 。发布于 - [网络](https://cloud.google.com/blog/products/networking) - [开发者与实践者](https://cloud.google.com/blog/topics/developers-practitioners)