我每月要为“从美洲到亚太地区的 Compute Engine 网络互联网出站流量”支付约 60-70 美元(500-600GB)。我的实例全部为us-central1。
我在日志中看到过很多针对 http 服务的一次性探测,但没有像这种规模的探测。只是偶尔请求 word-press 管理资源。
我还看到很多 ssh 尝试被拒绝。在看到账单中的这一项之前,我并没有太担心它们。这些 ssh 尝试加起来可能达到该数量的出站流量吗?
目前我的防火墙仅允许通过负载均衡器使用 https,以及从任何地方使用 ssh。其他默认设置也仍然有效——从任何地方使用 ICMP,从任何地方使用 RDP(我不使用 RDP)。
我希望更好地了解流量来自哪里,以便可以有效地更新防火墙。
编辑
我关闭了 ICMP 和 SSH 防火墙,确认没有新的无效登录尝试,并且对出口速率没有影响。我不得不说这是我所期望的。
在我的实例上运行一些之后iftop,mtr我开始怀疑这个出站流量可能是我的应用程序自己到 graph.facebook.com 的流量。然而这让我很困惑,因为我看到该域名解析到美国和爱尔兰的 IP。所以我可以相信有少量流量流向欧洲,我预计“美洲到美洲”的流量会更高。但这如何转化为亚太地区呢?
编辑2
我将大部分流量转移到 graph.facebook.com。我没有在帖子中推送图像数据,而是提供了一个带有 CDN 的云存储 URL,让 Facebook 提取图像数据。
此操作将我每天流向亚太地区的流量从约 16GB 减少到约 1GB。Google 似乎将流向 Facebook 的流量计为亚太地区的流量,这一点非常明显。
但对我来说,给出 Facebook 数据中心的位置毫无意义。不过,这是一个新的、不同的问题,我认为这个问题已经基本结束了。我将为这个问题添加一个答案,其中包括我在诊断时使用的网络工具。