我们需要VPC Flow logs在我们的GCP环境中启用。大约有 100 个项目,大多数服务都在使用SharedVPC. 每个SharedVPC都有大约三个subnets,并且许多项目中的服务仍在运行,Default VPC因为有与VPC Flow logslikestorage costs和相关的成本Data access Audit Logs。所以我们的计划不是Flow logs 只在subnets面向 Internet 的设备上启用。但是private/public subnet在“GCP”中没有任何东西。
我们正在考虑的一种选择是识别subnets暴露于 Internet 或使用Public IP类似Google Load Balancer、、、VM instances with Public IP等GKE LB and Ingress的GCP 服务并在这些服务上Cloud SQL instances with Public IP启用。但是我们必须浏览所有项目以识别这些服务的子网,这些服务使用. 这有意义吗?VPC Flow LogssubnetsPublic IP
还有一些选项,例如增加Aggregation internal和sample rate降低相关成本,VPC flow logs但我正在寻找可用于确定subnets启用的指南和最佳实践VCP flowlogs。