arrow_back

Registros de fluxo de VPC: como analisar o tráfego de rede

Fazer login Inscreva-se
Quick tip: Review the prerequisites before you run the lab
Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the student account, which may cause extra charges incurred to your personal account.
Teste e compartilhe seu conhecimento com nossa comunidade.
done
Tenha acesso a mais de 700 laboratórios, selos de habilidade e cursos

Registros de fluxo de VPC: como analisar o tráfego de rede

Laboratório 1 hora universal_currency_alt 5 créditos show_chart Intermediário
info Este laboratório pode incorporar ferramentas de IA para ajudar no seu aprendizado.
Teste e compartilhe seu conhecimento com nossa comunidade.
done
Tenha acesso a mais de 700 laboratórios, selos de habilidade e cursos

GSP212

Logotipo dos laboratórios autoguiados do Google Cloud

Visão geral

Neste laboratório, você aprenderá a configurar uma rede para registrar o tráfego de entrada e saída em um servidor da Web Apache com os registros de fluxo de VPC. Depois você exportará os registros para análise no BigQuery.

Há diversos casos de uso para os registros de fluxo de VPC, por exemplo: para determinar de onde seus aplicativos estão sendo acessados e otimizar o tráfego de rede, criar balanceadores de carga de HTTP para equilibrar o tráfego globalmente ou adicionar endereços IP indesejados à lista de bloqueio com o Cloud Armor.

Objetivos

Neste laboratório, você aprenderá a fazer o seguinte:

  • Configurar uma rede personalizada com os registros de fluxo de VPC
  • Criar um servidor da Web Apache
  • Verificar se o tráfego de rede está registrado
  • Exportar o tráfego de rede para análise detalhada dos registros no BigQuery
  • Configurar a agregação de registros de fluxo de VPC

Configuração e requisitos

Antes de clicar no botão Start Lab

Leia estas instruções. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Este laboratório prático permite que você realize as atividades em um ambiente real de nuvem, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

  • Acesso a um navegador de Internet padrão (recomendamos o Chrome).
Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.
  • Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.
Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

  1. Clique no botão Começar o laboratório. Se for preciso pagar, você verá um pop-up para selecionar a forma de pagamento. No painel Detalhes do laboratório à esquerda, você vai encontrar o seguinte:

    • O botão Abrir console do Google Cloud
    • O tempo restante
    • As credenciais temporárias que você vai usar neste laboratório
    • Outras informações, se forem necessárias

  2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima.

    O laboratório ativa os recursos e depois abre a página Fazer login em outra guia.

    Dica: coloque as guias em janelas separadas lado a lado.

    Observação: se aparecer a caixa de diálogo Escolher uma conta, clique em Usar outra conta.

  3. Se necessário, copie o Nome de usuário abaixo e cole na caixa de diálogo Fazer login.

    {{{user_0.username | "Nome de usuário"}}}

    Você também encontra o Nome de usuário no painel Detalhes do laboratório.

  4. Clique em Seguinte.

  5. Copie a Senha abaixo e cole na caixa de diálogo de boas-vindas.

    {{{user_0.password | "Senha"}}}

    Você também encontra a Senha no painel Detalhes do laboratório.

  6. Clique em Seguinte.

    Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: se você usar sua própria conta do Google Cloud neste laboratório, é possível que receba cobranças adicionais.

  7. Acesse as próximas páginas:

    • Aceite os Termos e Condições.
    • Não adicione opções de recuperação nem autenticação de dois fatores (porque essa é uma conta temporária).
    • Não se inscreva em testes gratuitos.

Depois de alguns instantes, o console do Google Cloud será aberto nesta guia.

Observação: clique em Menu de navegação no canto superior esquerdo para acessar uma lista de produtos e serviços do Google Cloud. Ícone do menu de navegação

Ativar o Cloud Shell

O Cloud Shell é uma máquina virtual com várias ferramentas de desenvolvimento. Ele tem um diretório principal permanente de 5 GB e é executado no Google Cloud. O Cloud Shell oferece acesso de linha de comando aos recursos do Google Cloud.

  1. Clique em Ativar o Cloud Shell Ícone "Ativar o Cloud Shell" na parte de cima do console do Google Cloud.

Depois de se conectar, vai notar que sua conta já está autenticada, e que o projeto está configurado com seu PROJECT_ID. A saída contém uma linha que declara o projeto PROJECT_ID para esta sessão:

Your Cloud Platform project in this session is set to YOUR_PROJECT_ID

gcloud é a ferramenta de linha de comando do Google Cloud. Ela vem pré-instalada no Cloud Shell e aceita preenchimento com tabulação.

  1. (Opcional) É possível listar o nome da conta ativa usando este comando:
gcloud auth list

  1. Clique em Autorizar.

  2. A saída será parecida com esta:

Saída:

ACTIVE: * ACCOUNT: student-01-xxxxxxxxxxxx@qwiklabs.net To set the active account, run: $ gcloud config set account `ACCOUNT`
  1. (Opcional) É possível listar o ID do projeto usando este comando:
gcloud config list project

Saída:

[core] project = <project_ID>

Exemplo de saída:

[core] project = qwiklabs-gcp-44776a13dea667a6 Observação: para conferir a documentação completa da gcloud, acesse o guia com informações gerais sobre a gcloud CLI no Google Cloud.

Tarefa 1. Configurar uma rede personalizada com os registros de fluxo de VPC

Crie a rede personalizada

Por padrão, os registros de fluxo de VPC estão desativados em uma rede. Portanto, você precisa criar uma nova rede personalizada e ativar os registros de fluxo de VPC.

  1. No console, acesse Menu de navegação (Ícone do menu de navegação) > Rede VPC > Redes VPC.

    O caminho de navegação para a opção Redes VPC

  2. Clique em Criar rede VPC.

  3. Defina os seguintes valores e mantenha o restante como padrão:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome vpc-net
    Descrição Insira uma descrição opcional

  4. Em Modo de criação da sub-rede, clique em Personalizar.

  5. Defina os seguintes valores e mantenha o restante como padrão:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome vpc-subnet
    Região
    Intervalo IPv4 10.1.3.0/24
    Registros de fluxo Ativado

  6. Clique em Concluído e em Criar.

Observação: ativar os registros de fluxo de VPC não afeta o desempenho, mas alguns sistemas geram uma grande quantidade de registros. Isso pode aumentar os custos. Observação: aguarde a rede ser criada antes de passar para a próxima etapa.

Teste a tarefa concluída

Clique em Verificar meu progresso para conferir a tarefa realizada. Se você tiver concluído a tarefa, receberá uma pontuação de avaliação.

Crie a rede personalizada. Crie uma sub-rede para a rede personalizada na região .

Crie a regra de firewall

Para exibir o tráfego HTTP e SSH na rede, crie uma regra de firewall.

  1. No menu à esquerda, clique em Firewall.

  2. Clique em Criar regra de firewall.

  3. Defina os seguintes valores e mantenha o restante como padrão:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome allow-http-ssh
    Rede vpc-net
    Destinos Tags de destino especificadas
    Tags de destino http-server
    Filtro de origem Intervalos IPv4
    Intervalos IPv4 de origem 0.0.0.0/0
    Protocolos e portas Em "Portas e protocolos especificados", marque tcp e digite: 80, 22
Observação: inclua /0 ao preencher o campo Intervalos IPv4 de origem para especificar todas as redes.
  1. Clique em Criar.

Teste a tarefa concluída

Clique em Verificar meu progresso para conferir a tarefa realizada. Se você tiver concluído a tarefa, receberá uma pontuação de avaliação.

Crie a regra de firewall na rede personalizada.

Tarefa 2. Criar um servidor da Web Apache

Crie um servidor da Web

  1. No console, acesse Menu de navegação (Ícone do menu de navegação) > Compute Engine > Instâncias de VM.

  2. Clique em CRIAR INSTÂNCIA.

  3. Defina os seguintes valores e mantenha o restante como padrão:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Nome web-server
    Região
    Zona
    Tipo de máquina e2-micro (2 vCPUs, memória de 1 GB)
    Firewall Permitir o tráfego HTTP

  4. Selecione Rede, discos, segurança, gerenciamento e locatário único.

  5. Clique em Rede.

  6. Em Interfaces de rede, clique em default para editar.

  7. Defina os seguintes valores e mantenha o restante como padrão:

    Propriedade Valor (digite o valor ou selecione a opção conforme especificado)
    Rede vpc-net
    Sub-rede vpc-subnet

  8. Clique em Concluído e em Criar.

Teste a tarefa concluída

Clique em Verificar meu progresso para conferir a tarefa realizada. Se você tiver concluído a tarefa, receberá uma pontuação de avaliação.

Crie o servidor da Web na rede personalizada (zona:).

Instale o Apache

Configure a instância de VM criada como servidor da Web Apache e substitua a página da Web padrão.

  1. Volte ao console, na página "Instâncias de VM" (Menu de navegação (Ícone do menu de navegação) > Compute Engine > Instâncias de VM). Em web-server, clique em SSH para iniciar um terminal e se conectar.
  2. No terminal SSH do web-server, atualize o índice do pacote:
sudo apt-get update
  1. Instale o pacote Apache2:
sudo apt-get install apache2 -y
  1. Crie uma página da Web padrão substituindo o padrão:
echo '<!doctype html><html><body><h1>Hello World!</h1></body></html>' | sudo tee /var/www/html/index.html
  1. Saia do terminal SSH:
exit

Teste a tarefa concluída

Clique em Verificar meu progresso para conferir a tarefa realizada. Se você tiver concluído a tarefa, receberá uma pontuação de avaliação.

Instale o Apache no servidor da Web.

Tarefa 3. Verificar se o tráfego de rede está registrado

Gere tráfego de rede

  1. Volte ao console, na página "Instâncias de VM" (Menu de navegação (Ícone do menu de navegação) > Compute Engine > Instâncias de VM).
  2. Clique em IP externo para acessar o servidor e conferir o web-server.
Observação: a página Hello World! que você configurou é aberta. Se preferir, acesse o servidor em outra guia navegando até http://insira o endereço IP externo aqui.

Encontre seu endereço IP

Encontre o endereço IP do computador que estiver usando. Uma maneira fácil de fazer isso é acessar um site que mostre esse endereço.

  1. Clique em whatismyip.host para encontrar o endereço IP v4.
  2. Copie seu endereço IP. Ele aparecerá como YOUR_IP_ADDRESS.

Acesse os registros de fluxo de VPC

  1. No console, acesse Menu de navegação > Logging > Análise de registros.

  2. No painel Campos de registro, em Tipo de recurso, clique em Sub-rede. No painel "Resultados da consulta", são exibidas entradas dos registros de sub-redes.

  3. No painel Campos do registro, em Nome do registro, clique em compute.googleapis.com/vpc_flows.

  4. Insira "YOUR_IP_ADDRESS" na parte de cima da caixa de pesquisa da consulta. Em seguida, clique em Executar consulta.

Observação: se a opção de filtro compute.googleapis.com/vpc_flows não estiver disponível ou se nenhum registro aparecer, talvez seja necessário aguardar alguns minutos e atualizar.

O botão &quot;Executar consulta&quot; realçado na página &quot;Análise de registros&quot;.

  1. Clique em uma das entradas do registro para expandi-lo.
  2. Na entrada, clique nas setas para expandir o jsonPayload e a conexão. Talvez seja necessário clicar em Expandir tudo para exibir a conexão.

Todas as conexões listadas em &quot;Resultados da consulta&quot;

Observação: a conexão contém o endereço IP/número da porta de destino, o protocolo e o endereço IP/número da porta de origem. O destino é o web-server ou a máquina em que você está trabalhando, e vice-versa para a origem, dependendo da direção do tráfego.

O protocolo deve ser 6, que é o protocolo IANA para tráfego TCP. Um dos números de porta será 80, que representa a porta HTTP no web-server, e o outro número da porta deve ser maior que 1024, que representa a porta HTTP na sua máquina.

Fique à vontade para conhecer outros campos na entrada de registro antes de seguir para a próxima tarefa.

Tarefa 4. Exportar o tráfego de rede para o BigQuery e analisar melhor os registros

Crie um coletor de exportação

  1. No painel esquerdo do console, clique em Análise de registros.

  2. No menu suspenso Recursos, selecione Sub-rede. Em seguida, clique em Aplicar.

  3. No menu suspenso Nome do registro, marque vpc_flows e clique em Aplicar. Em seguida, clique em Executar consulta.

  4. Clique em Mais ações > Criar coletor.

  5. Em "Nome do coletor", digite vpc-flows e clique em PRÓXIMO.

  6. Em "Selecionar serviço de coletor", selecione o Conjunto de dados do BigQuery.

  7. Em "Destino do coletor", selecione Criar novo conjunto de dados do BigQuery.

  8. Em "ID do conjunto de dados", digite bq_vpcflows e clique em CRIAR CONJUNTO DE DADOS.

  9. Clique em CRIAR COLETOR. A página "Coletores do Roteador de registros" é exibida. Você deve conseguir acessar o coletor criado (vpc-flows). Se não conseguir acessá-lo, clique em Roteador dos registros.

Gere o tráfego de registros para BigQuery

Gere mais tráfego acessando o web-server várias vezes já que os registros de tráfego de rede são exportados para o BigQuery. É possível fazer curl no endereço IP do web-server várias vezes com o Cloud Shell.

  1. No console, acesse Menu de navegação (Ícone do menu de navegação) > Compute Engine > Instâncias de VM.
  2. Para usá-lo na próxima etapa, anote o endereço do IP externo da instância do web-server. Ele aparecerá como EXTERNAL_IP.
  3. Na linha de comando do Cloud Shell, execute o comando a seguir para armazenar o EXTERNAL_IP em uma variável de ambiente. Substitua <EXTERNAL_IP> pelo endereço anotado:
export MY_SERVER=<EXTERNAL_IP>
  1. Acesse o web-server 50 vezes no Cloud Shell:
for ((i=1;i<=50;i++)); do curl $MY_SERVER; done

Teste a tarefa concluída

Clique em Verificar meu progresso para conferir a tarefa realizada. Se você tiver concluído a tarefa, receberá uma pontuação de avaliação.

Exporte o tráfego de rede para o BigQuery.

Confira os registros de fluxo de VPC no BigQuery

  1. No console, acesse Menu de navegação (Ícone do menu de navegação) > BigQuery.
  2. Clique em Concluído.
  3. No lado esquerdo, expanda o conjunto de dados bq_vpcflows para mostrar a tabela. Talvez seja necessário expandir primeiro o ID do projeto para mostrar o conjunto de dados.
  4. Clique no nome da tabela. Ele começa com compute_googleapis.
Observação: se o conjunto de dados bq_vpcflows não aparecer ou não expandir, aguarde alguns minutos e atualize a página.

  1. Clique na guia Detalhes.

  2. Copie o ID da tabela fornecido na guia Detalhes.

  3. Adicione o seguinte no "Editor de consultas" e substitua your_table_id por TABLE_ID. Mantenha os acentos (`) nos dois lados:

#standardSQL SELECT jsonPayload.src_vpc.vpc_name, SUM(CAST(jsonPayload.bytes_sent AS INT64)) AS bytes, jsonPayload.src_vpc.subnetwork_name, jsonPayload.connection.src_ip, jsonPayload.connection.src_port, jsonPayload.connection.dest_ip, jsonPayload.connection.dest_port, jsonPayload.connection.protocol FROM `your_table_id` GROUP BY jsonPayload.src_vpc.vpc_name, jsonPayload.src_vpc.subnetwork_name, jsonPayload.connection.src_ip, jsonPayload.connection.src_port, jsonPayload.connection.dest_ip, jsonPayload.connection.dest_port, jsonPayload.connection.protocol ORDER BY bytes DESC LIMIT 15
  1. Clique em Executar.
Observação: a tabela de resultados mostra o total de bytes enviados, o endereço IP de origem, o endereço IP de destino, a porta de destino, o protocolo e os nomes da VPC e das sub-redes. Observação: se ocorrer um erro, verifique se você não removeu a parte do #standardSQL da consulta. Se o erro persistir, verifique se TABLE_ID não tinha o ID do projeto.

Analise os registros de fluxo de VPC no BigQuery

A consulta anterior resultou nas mesmas informações acessadas no console do Cloud. Altere a consulta para identificar os principais endereços IP que tiveram tráfego com o web-server.

  1. Substitua your_table_id por TABLE_ID, mantendo os acentos (`) nos dois lados, e crie uma nova consulta no "Editor de consultas" com o seguinte:
#standardSQL SELECT jsonPayload.connection.src_ip, jsonPayload.connection.dest_ip, SUM(CAST(jsonPayload.bytes_sent AS INT64)) AS bytes, jsonPayload.connection.dest_port, jsonPayload.connection.protocol FROM `your_table_id` WHERE jsonPayload.reporter = 'DEST' GROUP BY jsonPayload.connection.src_ip, jsonPayload.connection.dest_ip, jsonPayload.connection.dest_port, jsonPayload.connection.protocol ORDER BY bytes DESC LIMIT 15
  1. Clique em Executar.
Observação: a tabela de resultados agora tem uma linha para cada IP de origem e está classificada pela maior quantidade de bytes enviados para o web-server. O primeiro resultado deve refletir seu endereço IP do Cloud Shell. Observação: a menos que você tenha acessado o web-server após criar o coletor de exportação, o endereço IP da sua máquina na tabela não estará disponível.

Fique à vontade para gerar mais tráfego para o web-server usando várias origens e consulte a tabela novamente para determinar os bytes enviados ao servidor.

Tarefa 5. Adicionar agregação aos registros de fluxo de VPC

Agora você analisará um lançamento de redução do volume de registros de fluxo de VPC. Nem todo pacote é capturado no próprio registro. No entanto, mesmo com amostragem, as capturas de registros podem ser muito grandes.

É possível equilibrar a visibilidade do tráfego e as necessidades de custo de armazenamento ajustando os aspectos específicos da coleta de registros. Eles serão analisados nesta seção.

Configure a agregação

  1. No console, acesse Menu de navegação (Ícone do menu de navegação) > Rede VPC > Redes VPC.

  2. Clique em vpc-net e em Editar.

  3. Na guia "Sub-redes", clique em vpc-subnet:

vpc-subnet destacado na página com guias &quot;Sub-redes&quot;.

  1. Clique em Editar > Configurar registros para exibir os seguintes campos:

Configure a página de registros de fluxo com vários campos exibidos.

O objetivo de cada campo é explicado abaixo:

  • Intervalo de tempo de agregação: pacotes amostrados para um intervalo de tempo são agregados em uma única entrada de registro. Esse intervalo de tempo pode ser de 5 s (padrão), 30 s, 1 min, 5 min, 10 min ou 15 min.

  • Anotações de metadados: por padrão, as entradas do registro de fluxo são anotadas com informações de metadados, como os nomes das VMs de origem e de destino ou a região geográfica de origens e destinos externos. Essa anotação de metadados pode ser desativada para economizar espaço de armazenamento.

  • Amostragem de entrada de registro: antes de ser gravado no banco de dados, é possível realizar uma amostra para reduzir o número de registros. Por padrão, o volume de entrada de registros é escalonado em 0,50 (50%), o que significa que metade das entradas é mantida. É possível definir esse valor de 1,0 (100%, todas as entradas de registro são mantidas) a 0,0 (0%, nenhum registro é mantido).

  1. Defina o Intervalo de agregação para 30 segundos.

  2. Defina a Taxa de amostragem para 25%.

  3. Clique em Salvar. A seguinte mensagem será exibida:

Mensagem &quot;Registros estimados gerados por dia: 6,14 MB&quot;.

Definir o nível de agregação como 30 segundos pode reduzir o tamanho dos registros de fluxo em até 83%, em comparação com o intervalo de agregação padrão de 5 segundos. A configuração da agregação do registro de fluxo pode afetar gravemente a visibilidade do tráfego e os custos de armazenamento.

Parabéns!

Você configurou uma rede VPC, ativou os registros de fluxo de VPC e criou um servidor da Web nessa rede. Em seguida, você gerou tráfego HTTP para o servidor da Web, conferiu os registros de tráfego no console do Cloud e analisou os registros de tráfego no BigQuery.

Termine a Quest

Este laboratório autoguiado é parte da Quest Network Performance and Optimization. Uma Quest é uma série de laboratórios relacionados que formam um programa de aprendizado. Ao concluir uma Quest, você ganha um selo como reconhecimento da sua conquista. É possível publicar os selos e incluir um link para eles no seu currículo on-line ou nas redes sociais. Inscreva-se em qualquer Quest que tenha este laboratório para receber os créditos de conclusão na mesma hora. Consulte o catálogo do Google Cloud Ensina para conferir todas as Quests disponíveis.

Comece a próxima Quest

Continue seu aprendizado com outra Quest, por exemplo, Google Cloud Solutions I: Scaling Your Infrastructure ou veja essas sugestões:

Próximas etapas / saiba mais

Para informações sobre os conceitos básicos do Google Cloud Identity and Access Management:

Treinamento e certificação do Google Cloud

Esses treinamentos ajudam você a aproveitar as tecnologias do Google Cloud ao máximo. Nossas aulas incluem habilidades técnicas e práticas recomendadas para ajudar você a alcançar rapidamente o nível esperado e continuar sua jornada de aprendizado. Oferecemos treinamentos que vão do nível básico ao avançado, com opções de aulas virtuais, sob demanda e por meio de transmissões ao vivo para que você possa encaixá-las na correria do seu dia a dia. As certificações validam sua experiência e comprovam suas habilidades com as tecnologias do Google Cloud.

Manual atualizado em 28 de setembro de 2023

Laboratório testado em 28 de setembro de 2023

Copyright 2025 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.

Before you begin

  1. Labs create a Google Cloud project and resources for a fixed time
  2. Labs have a time limit and no pause feature. If you end the lab, you'll have to restart from the beginning.
  3. On the top left of your screen, click Start lab to begin

Use private browsing

  1. Copy the provided Username and Password for the lab
  2. Click Open console in private mode

Sign in to the Console

  1. Sign in using your lab credentials. Using other credentials might cause errors or incur charges.
  2. Accept the terms, and skip the recovery resource page
  3. Don't click End lab unless you've finished the lab or want to restart it, as it will clear your work and remove the project

Este conteúdo não está disponível no momento

Você vai receber uma notificação por e-mail quando ele estiver disponível

Ótimo!

Vamos entrar em contato por e-mail se ele ficar disponível

One lab at a time

Confirm to end all existing labs and start this one

Setup your console before you begin

Use an Incognito or private browser window to run this lab. This prevents any conflicts between your personal account and the Student account, which may cause extra charges incurred to your personal account.