Мне выставили счет за «Выход Compute Engine Network Internet из Америки в Азиатско-Тихоокеанский регион» в размере порядка 60-70 долларов в месяц (500-600 ГБ). Все мои экземпляры находятся в us-central1
.
В моих журналах я видел множество разовых зондов на моих http-сервисах, но ничего подобного такого рода. Просто просьба время от времени обращаться к административным ресурсам для прессы.
Я также видел множество отклоненных попыток ssh. Я не особо беспокоился о них, пока не увидел эту строку в своем счете. Возможно ли, что эти попытки ssh могут добавить к этому объему исходящего трафика?
В настоящее время мой брандмауэр разрешает https только через балансировщик нагрузки и ssh из любого места. Остальные настройки по умолчанию тоже остаются в силе - ICMP из любого места и RDP из любого места (я не использую RDP).
Я бы хотел лучше понять, откуда идет трафик, чтобы я мог эффективно обновить свой брандмауэр.
РЕДАКТИРОВАТЬ
Я отключил свой брандмауэр для ICMP и SSH и не проверил никаких новых недопустимых попыток входа в систему и не повлиял на скорость исходящего трафика. Должен сказать, это то, чего я ожидал.
После запуска некоторых iftop
и mtr
на моих экземплярах я начал подозревать, что этот исходящий объем может быть собственным трафиком моего приложения на graph.facebook.com.Однако это сбивает меня с толку, поскольку я видел, как этот домен разрешается IP-адресами в США и Ирландии. Так что я мог поверить в небольшой объем трафика в Европу и ожидал, что объем «из Америки в Америку» будет выше. Но как это перевести в APAC ???
РЕДАКТИРОВАТЬ 2
Я перевел большую часть своего трафика на graph.facebook.com. Вместо того, чтобы помещать данные изображения в свои сообщения, я предоставляю URL-адрес своего облачного хранилища с CDN и разрешаю Facebook извлекать данные изображения.
Это действие сократило мой ежедневный выход в APAC с примерно 16 ГБ до примерно 1 ГБ. Кажется довольно очевидным, что Google учитывает трафик Facebook как APAC.
Но для меня это не имеет особого смысла, когда я сообщаю расположение центров обработки данных Facebook. Однако это новый и другой вопрос, и я буду считать его в значительной степени закрытым. Я собираюсь добавить ответ на этот вопрос, который включает сетевые инструменты, которые я использовал при диагностике.
Повторяю для всех, кто сталкивается с подобной проблемой в 2021 году:
Вход (входящие пакеты) всегда бесплатен, исход (пакеты, покидающие GCP) могут проверить здесь.
Вы можете использовать Журналы потоков VPC, чтобы определить цель выхода. Хотя журналы потоков предоставляются бесплатно, с вас будет взиматься плата за количество зарегистрированных данных.
Такие приложения, как oftop
, mtr
и журналы приложений полезны при анализе входящих и исходящих данных.
Нежелательный трафик можно заблокировать с помощью правил брандмауэра.
Для лучшего контроля включите Ведение журнала правил брандмауэра.