如下图所示,流量镜像的报文采用标准的VXLAN报文格式封装,更多有关VXLAN协议的信息,请参见RFC 7348。当被镜像的报文长度加上VXLAN报文长度大于镜像源实例的MTU值时,系统会对报文进行截断。为了防止报文被截断,建议您在IPv4场景下,设置弹性网卡的MTU值比链路支持的MTU值至少小64字节。
当前流量镜像支持部分规格云服务器的弹性网卡作为镜像源,包括c7n、m7n。- 如果一个弹性网卡已被用作镜像源,则镜像目的不能使用该弹性网卡。
- 流量镜像会占用弹性网卡绑定实例的带宽,并且不做独立限速。
- 当一个镜像目的实例需要接收来自多个镜像源的流量镜像时,为了确保正常使用,请您根据业务实际需要合理规划云服务器的规格。
- 根据流量镜像的匹配规则,同一个镜像源的同一个报文同时符合多个筛选条件规则,也仅会被匹配一次,并且根据采集策略决定是否镜像到目的实例。
- 对于镜像源弹性网卡已被安全组或者网络ACL拦截丢弃的报文,流量镜像不会镜像该部分报文。
- 当镜像源的报文符合筛选条件被镜像时,该报文不受镜像源安全组或者网络ACL出方向规则约束,即您无需在镜像源的安全组或者网络ACL做额外配置。但是如果需要将报文镜像到镜像目的实例时,则需要为镜像目的实例所在的安全组和网络ACL配置以下规则:
安全组规则:入方向允许来自镜像源弹性网卡的IP访问4789端口的UDP协议报文。假如镜像源弹性网卡的IP地址为192.168.0.27,则安全组规则配置示例如下表所示。
| 规则类别 | 策略 | 类型 | 协议端口 | 源地址 |
|---|---|---|---|---|
| 入方向规则 | 允许 | IPv4 | 自定义UDP: 4789 | IP地址:192.168.0.27/32此处仅为示例,请根据实际情况配置。 |
网络ACL规则:入方向允许来自镜像源弹性网卡的IP访问所有端口的UDP协议报文。假如镜像源弹性网卡的IP地址为192.168.0.27,则网络ACL规则配置示例如下表所示。
| 规则类别 | 类型 | 策略 | 协议 | 源地址 | 源端口范围 | 目的地址 | 目的端口范围 |
|---|---|---|---|---|---|---|---|
| 入方向规则 | IPv4 | 允许 | UDP | IP地址:192.168.0.27/32此处仅为示例,请根据实际情况配置。 | 此处为空,表示全部端口。 | IP地址:10.10.0.0/24此处仅为示例,请根据实际情况配置。 | 4789必须放通4789端口,其他端口请根据实际情况配置。 |
- 不同的虚拟私有云VPC之间网络不通,如果镜像源和镜像目的实例不在同一个VPC内,则您需要使用VPC对等连接或者企业路由器连通VPC之间的网络。
