为保证流量镜像产品正常使用,在使用之前,请您务必仔细阅读以下使用限制。
配额限制
- 每个用户在每个资源池最多可创建10个筛选条件,最多可创建10个会话。
- 一个源只能被加入一个会话。
- 一个会话只能添加一个目的;一个目的可以被加入最多10个会话。
- 一个会话只能添加一个筛选条件;一个筛选条件可以被最多10个会话引用。
- 一个筛选条件可以增加20个规则(出/入各10个)。
使用限制
账户与地域
- 一个会话的源和目的必须归属同一个租户的同一个区域(Region)。
- 在同账号同地域下,镜像源和镜像目的可以配置在同一个VPC内,也可以跨VPC配置。
镜像源和镜像目的
- 一个网卡不能既作镜像源又作镜像目的。
- 一个镜像源的报文只能被镜像一次,且只能发送给一个镜像目的。
- 流量镜像的报文采用标准的VXLAN报文格式封装,当被镜像的报文长度加上VXLAN报文长度大于镜像源实例的MTU值时,系统会对报文进行截断。为了防止报文被截断,建议您在IPv4场景下,设置弹性网卡的MTU值比链路支持的MTU值至少小50字节。
- 镜像目的收到的被镜像的报文长度受限于链路最小MTU值,请保证镜像报文长度不超过链路MTU长度(一般默认1500)。
安全规则
-
流量镜像不采集ACL丢弃流量、安全组丢弃流量和被过滤器过滤掉的流量。ACL和安全组丢弃流量遵循以下规则:
- 报文在从镜像源复制时,出方向不受安全组和网络ACL的限制。
- 报文在复制至镜像目的时,入方向不受网络ACL的限制,但是会受目的安全组策略的限制。
-
为了防止流量被安全组丢弃,需要在镜像目的所在安全组配置以下规则:
- 可用区资源池:入方向允许源IP为镜像目的所在子网的网关IPv4地址,目的端口为4789的UDP协议报文。
- 地域资源池:入方向允许源IP为镜像源网卡的内网IPv4地址,目的端口为4789的UDP协议报文
支持地域
仅部分资源池支持,实际情况以控制台展示为准。