虚拟私有云 VPC-流量镜像简介:流量镜像约束与限制

时间：2023-11-20 10:44:29

虚拟私有云 VPC 流量镜像

如图4所示，流量镜像的报文采用标准的VXLAN报文格式封装，更多有关VXLAN协议的信息，请参见RFC 7348。当被镜像的报文长度加上VXLAN报文长度大于镜像源实例的MTU值时，系统会对报文进行截断。为了防止报文被截断，建议您在IPv4场景下，设置弹性网卡的MTU值比链路支持的MTU值至少小64字节。
图4 流量镜像报文格式
当前流量镜像仅支持c7t规格云服务器的弹性网卡作为镜像源。
如果一个弹性网卡已被用作镜像源，则镜像目的不能使用该弹性网卡。
流量镜像会占用弹性网卡绑定实例的带宽，并且不做独立限速。
当一个镜像目的实例需要接收来自多个镜像源的流量镜像时，为了确保正常使用，请您根据业务实际需要合理规划云服务器的规格。
根据流量镜像的匹配规则，同一个镜像源的同一个报文同时符合多个筛选条件规则，也仅会被匹配一次，并且根据采集策略决定是否镜像到目的实例。
对于镜像源弹性网卡已被安全组或者网络ACL拦截丢弃的报文，流量镜像不会镜像该部分报文。

当镜像源的报文符合筛选条件被镜像时，该报文不受镜像源安全组或者网络ACL出方向规则约束，即您无需在镜像源的安全组或者网络ACL做额外配置。但是如果需要将报文镜像到镜像目的实例时，则需要为镜像目的实例所在的安全组和网络ACL配置以下规则：

安全组规则：入方向允许来自镜像源弹性网卡的IP访问4789端口的UDP协议报文。假如镜像源弹性网卡的IP地址为192.168.0.27，则安全组规则配置示例如表5所示，具体方法请参见添加安全组规则。

表5 安全组规则配置示例
规则类别	策略	类型	协议端口	源地址
入方向规则	允许	IPv4	自定义UDP: 4789	IP地址：192.168.0.27/32 此处仅为示例，请根据实际情况配置。

网络ACL规则：入方向允许来自镜像源弹性网卡的IP访问所有端口的UDP协议报文。假如镜像源弹性网卡的IP地址为192.168.0.27，则网络ACL规则配置示例如表6所示，具体方法请参见添加网络ACL规则。

表6 网络ACL规则配置示例
规则类别	类型	策略	协议	源地址	源端口范围	目的地址	目的端口范围
入方向规则	IPv4	允许	UDP	IP地址：192.168.0.27/32 此处仅为示例，请根据实际情况配置。	此处为空，表示全部端口。	IP地址：10.10.0.0/24 此处仅为示例，请根据实际情况配置。	4789 必须放通4789端口，其他端口请根据实际情况配置。