Mục lục bài viết

Amazon VPC Flow Logs là gì?

VPC Flow Logs cho phép ghi lại thông tin về lưu lượng IP di chuyển giữa các network interface trong VPC.

Có thể tạo Flow Logs cho VPC, subnet hoặc network interface. Khi tạo Flow Logs cho subnet hoặc VPC, các network interface trong subnet hoặc VPC tương ứng sẽ được theo dõi.

Flow Logs có thể được gửi đến CloudWatch Logs hoặc Amazon S3, và có phát sinh phí cho việc nhập dữ liệu vào log và lưu trữ log.

Để lấy dữ liệu từ Flow Logs, cần xác định các nội dung dưới đây:

・Tài nguyên để tạo Flow Logs.

・Loại traffic để ghi lại (chấp nhận traffic, từ chối traffic hoặc tất cả traffic).

・Nơi gửi Flow Logs data (S3 hoặc CloudWatch Logs).

Ngoài ra, cũng có thể tạo Flow Logs cho các network interface được tạo bởi các dịch vụ AWS khác.

・Elastic Load Balancing

・Amazon RDS

・Amazon ElastiCache

・Amazon Redshift

・Amazon WorkSpaces

・NAT Gateway

・Transit Gateway

Hơn nữa, các log được xuất từ VPC Flow Logs sẽ có khoảng thời gian cố định. Log xuất ra từ Flow Logs sẽ tổng hợp thông tin ghi lại trong khoảng thời gian này.

Đây là đặc điểm của VPC Flow Logs. Mặc định, khoảng thời gian tổng hợp lớn nhất được cài đặt là 10 phút.

Nếu cần log có khoảng thời gian ngắn hơn, bạn có thể đặt lại khoảng thời gian tổng hợp của log.

Một điểm khó khăn là sau khi dữ liệu được thu thập trong khoảng thời gian tổng hợp, việc xử lý dữ liệu và gửi log đến CloudWatch Logs hoặc Amazon S3 cũng mất thêm thời gian.

Dịch vụ Flow Logs thường gửi log đến CloudWatch Logs sau khoảng 5 phút và gửi log đến Amazon S3 sau khoảng 10 phút.

Ngoài ra, có một hạn chế khác là bạn không thể thay đổi khoảng thời gian tổng hợp của Flow Logs đã được tạo trước đó, muốn thay đổi bạn phải tạo lại chúng.

Transit Gateway là gì?

AWS Transit Gateway kết nối Amazon Virtual Private Cloud (VPC) và on-premises network tại một trung tâm. Thông thường, để kết nối từ môi trường on-premises, bạn cần gắn VPN với từng VPC.

Khi VPC tăng lên, mất nhiều thời gian triển khai và quản lý trở nên phức tạp, và tốn nhiều công sức cho việc vận hành.

Trong những trường hợp như vậy, AWS Transit Gateway cho phép tạo hàng trăm, hàng nghìn kết nối. Sử dụng AWS Transit Gateway, giúp đơn giản hóa network và loại bỏ các kết nối phức tạp.

Ưu điểm của bản cập nhật

Transit Gateway hiện có thể thu thập dữ liệu sử dụng Flow Logs cho tất cả các network flow, bao gồm các dữ liệu về địa chỉ IP nguồn/đích, ports, protocols, traffic counters, timestamps, và các siêu dữ liệu khác để cải thiện hiệu suất và chất lượng ứng dụng.

Khi sử dụng Transit Gateway Flow Logs, bạn có thể nhận được flow-level insights từ một vị trí duy nhất trong network của một tài khoản AWS.

Với bản cập nhật này, bạn có thể trực quan hóa traffic ở flow-level mà không cần phụ thuộc vào các router bên thứ ba hoặc các công cụ xuất dữ liệu. Cho phép hiển thị traffic giữa các khu vực AWS thông qua Transit Gateway Peering, traffic qua Direct Connect và kết nối VPN site-to-site.

Các khu vực hỗ trợ

Flow Logs của Transit Gateway VPC được hỗ trợ ở tất cả các khu vực của AWS Public Sector và AWS GovCloud (US).

Chi Phí

Bạn cần trả phí cho việc lưu trữ VPC Flow Logs trong CloudWatch Logs hoặc Amazon S3 như thông thường.

Tổng kết

Transit Gateway đã được thêm vào Amazon VPC Flow Logs. Sử dụng Transit Gateway Flow Logs, bạn có thể thu thập flow-level insights từ một location duy nhất trong network của một tài khoản AWS, giúp quản lý log kết nối trở nên dễ dàng hơn.