Überwachung von VPN-Tunneln mit Amazon CloudWatch

Sie können VPN-Tunnel überwachen CloudWatch, indem Rohdaten aus dem VPN-Dienst gesammelt und in lesbare Messwerte umgewandelt werden, die nahezu in Echtzeit verfügbar sind. Diese Statistiken werden für einen Zeitraum von 15 Monaten aufgezeichnet, damit Sie auf Verlaufsinformationen zugreifen können und einen besseren Überblick darüber erhalten, wie Ihre Webanwendung oder der Service ausgeführt werden. VPN-Metrikdaten werden automatisch an sie gesendet, CloudWatch sobald sie verfügbar sind.

Weitere Informationen finden Sie im CloudWatch Amazon-Benutzerhandbuch.

VPN-Metriken und Dimensionen

Die folgenden CloudWatch Messwerte sind für Ihre Site-to-Site-VPN-Verbindungen verfügbar.

Metrik	Beschreibung
TunnelState	Der Status des Tunnels. Für statische VPNs gibt der Wert 0 DOWN an, während 1 UP bedeutet. Für BGP-VPNs gibt der Wert 1 ESTABLISHED an, während 0 für alle anderen Zustände verwendet wird. Für beide Arten von VPNs geben Werte zwischen 0 und 1 an, dass mindestens ein Tunnel nicht UP ist. Einheiten: Bruchwert zwischen 0 und 1
TunnelDataIn †	Die Byte, die auf der AWS Seite der Verbindung durch den VPN-Tunnel von einem Kunden-Gateway empfangen wurden. Jeder Metrikdatenpunkt stellt die Anzahl der nach dem vorangegangenen Datenpunkt empfangenen Byte dar. Verwenden Sie die Summenstatistik, um die Gesamtanzahl der während des Zeitraums empfangenen Byte anzuzeigen. Diese Metrik zählt die Daten nach deren Entschlüsselung. Einheiten: Byte
TunnelDataOut †	Die Byte, die von der AWS Verbindungsseite durch den VPN-Tunnel zum Kunden-Gateway gesendet werden. Jeder Metrikdatenpunkt stellt die Anzahl der nach dem vorangegangenen Datenpunkt gesendeten Byte dar. Verwenden Sie die Summenstatistik, um die Gesamtanzahl der während des Zeitraums gesendeten Byte anzuzeigen. Diese Metrik zählt die Daten vor deren Verschlüsselung. Einheiten: Byte

† Diese Metriken können die Netzwerkauslastung auch dann melden, wenn der Tunnel ausgefallen ist. Dies liegt an regelmäßigen Statusprüfungen, die am Tunnel durchgeführt werden, und auf Hintergrund-ARP- und BGP-Anfragen.

Verwenden Sie die nachstehenden Dimensionen, um die Metrikdaten zu filtern.

Dimension	Beschreibung
VpnId	Filtert die Metrikdaten nach der Site-to-Site-VPN-Verbindungs-ID.
TunnelIpAddress	Filtert die Metrikdaten nach der IP-Adresse des Tunnels für das virtuelle private Gateway.

CloudWatch VPN-Metriken anzeigen

Wenn Sie eine Site-to-Site-VPN-Verbindung herstellen, sendet der VPN-Dienst Metriken über Ihre VPN-Verbindung an CloudWatch, sobald diese verfügbar sind. Sie können -Metriken für Ihre VPN-Verbindungen wie folgt anzeigen.

So zeigen Sie Messwerte mithilfe der Konsole an CloudWatch

Metriken werden zunächst nach dem Service-Namespace und anschließend nach den verschiedenen Dimensionskombinationen in den einzelnen Namespaces gruppiert.

1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

2. Wählen Sie im Navigationsbereich Metriken aus.

3. Wählen Sie unter All metrics den Metriknamespace VPN aus.

4. Wählen Sie zur Ansicht der Metriken die Metrikdimension aus (z. B. VPN-Tunnel-Metriken).

Anmerkung

Der VPN-Namespace wird erst in der CloudWatch Konsole angezeigt, nachdem in der angezeigten AWS Region eine Site-to-Site-VPN-Verbindung hergestellt wurde.

Um Metriken anzuzeigen, verwenden Sie AWS CLI

Geben Sie in einer Eingabeaufforderung den folgenden Befehl ein:

aws cloudwatch list-metrics --namespace "AWS/VPN"

CloudWatch Alarme zur Überwachung von VPN-Tunneln erstellen

Sie können einen CloudWatch Alarm erstellen, der eine Amazon SNS SNS-Nachricht sendet, wenn sich der Status des Alarms ändert. Ein Alarm überwacht eine Metrik über einen bestimmten, von Ihnen definierten Zeitraum und sendet eine Benachrichtigung an ein Amazon SNS-Thema, die vom Wert der Metrik im Verhältnis zu einem vorgegebenen Schwellenwert in einer Reihe von Zeiträumen abhängt.

Sie können beispielsweise einen Alarm einrichten, der den Status eines einzelnen VPN-Tunnels überwacht und eine Benachrichtigung sendet, wenn der Tunnelstatus in 3 Datenpunkten innerhalb von 15 Minuten „DOWN“ lautet.

So erstellen Sie einen Alarm für einen einzelnen Tunnelstatus

1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

2. Erweitern Sie im Navigationsbereich Alarme, dann Alle Alarme.

3. Wählen Sie Alarm erstellen und dann Metrik auswählen aus.

4. Wählen Sie VPN und dann VPN-Tunnelmetriken aus.

5. Wählen Sie die IP-Adresse des gewünschten Tunnels in derselben Zeile wie die TunnelStateMetrik aus. Wählen Sie Select metric (Metrik auswählen) aus.

6. Denn wann immer TunnelState ist... , wählen Sie Niedriger und geben Sie dann „1" in das Eingabefeld unter als... ein .

7. Legen Sie unter Zusätzliche Konfiguration die Eingaben für Zu alarmierende Datenpunkte auf „3 von 3“ fest.

8. Wählen Sie Weiter aus.

9. Wählen Sie unter Eine Benachrichtigung an das folgende SNS-Thema senden eine vorhandene Benachrichtigungsliste aus oder erstellen Sie eine neue.

10. Wählen Sie Weiter aus.

11. Geben Sie einen Namen für den Alarm ein. Wählen Sie Weiter aus.

12. Überprüfen Sie die Einstellungen für Ihren Alarm, und wählen Sie dann Create alarm (Alarm erstellen) aus.

Sie können einen Alarm zur Überwachung des Site-to-Site-VPN-Verbindungsstatus erstellen. Sie können z. B. einen Alarm erstellen, der eine Benachrichtigung sendet, wenn der Status eines oder beider Tunnel für einen Zeitraum von 5 Minuten DOWN (Ausgefallen) ist.

So erstellen Sie einen Alarm für den Site-to-Site-VPN-Verbindungsstatus:

1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

2. Erweitern Sie im Navigationsbereich Alarme, dann Alle Alarme.

3. Wählen Sie Alarm erstellen und dann Metrik auswählen aus.

4. Wählen Sie VPN und anschließend VPN Connection Metrics (VPN-Verbindungsmetriken) aus.

5. Wählen Sie Ihre Site-to-Site-VPN-Verbindung und die Metrik aus. TunnelState Wählen Sie Select metric (Ausgewählte Metrik) aus.

6. Geben Sie bei Statistic (Statistik) Maximum an.

   Wenn Sie die Site-to-Site-VPN-Verbindung so konfiguriert haben, dass beide Tunnel aktiv sind, können Sie die Statistik Minimum angeben, um eine Benachrichtigung zu senden, wenn mindestens ein Tunnel ausgefallen ist.

7. Wählen Sie für Jedes Mal die Option Kleiner/Gleich (<=) aus. Geben Sie 0 ein (oder 0.5, falls mindestens ein Tunnel ausgefallen ist). Wählen Sie Weiter aus.

8. Wählen Sie unter Select an SNS topic (Ein SNS-Thema auswählen) eine vorhandene Benachrichtigungsliste oder New list (Neue Liste) aus, um eine neue zu erstellen. Wählen Sie Weiter aus.

9. Geben Sie einen Namen und eine Beschreibung für Ihren Alarm ein. Wählen Sie Weiter aus.

10. Überprüfen Sie die Einstellungen für Ihren Alarm, und wählen Sie dann Create alarm (Alarm erstellen) aus.

Sie können auch Alarme einrichten, die das Datenverkehrsvolumen überwachen, das in einen bzw. aus einem VPN-Tunnel kommt. Der folgende Alarm überwacht beispielsweise das Datenverkehrsvolumen, das von Ihrem Netzwerk in den VPN-Tunnel gesendet wird, und sendet eine Benachrichtigung, wenn innerhalb von 15 Minuten mehr als 5 000 000 Byte eingehen.

So erstellen Sie einen Alarm für eingehenden Netzwerkdatenverkehr

1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

2. Erweitern Sie im Navigationsbereich Alarme, dann Alle Alarme.

3. Wählen Sie Alarm erstellen und dann Metrik auswählen aus.

4. Wählen Sie VPN und dann VPN Tunnel Metrics (VPN-Tunnelmetriken) aus.

5. Wählen Sie die IP-Adresse des VPN-Tunnels und die TunnelDataInMetrik aus. Wählen Sie Select metric (Ausgewählte Metrik) aus.

6. Geben Sie bei Statistic (Statistik) Sum (Summe) an.

7. Wählen Sie bei Period (Zeitraum) 15 minutes (15 Minuten) aus.

8. Wählen Sie für Whenever (Jedes Mal) die Option Greater/Equal (Größer/Gleich) (>=) aus, und geben Sie 5000000 ein. Wählen Sie Weiter aus.

9. Wählen Sie unter Select an SNS topic (Ein SNS-Thema auswählen) eine vorhandene Benachrichtigungsliste oder New list (Neue Liste) aus, um eine neue zu erstellen. Wählen Sie Weiter aus.

10. Geben Sie einen Namen und eine Beschreibung für Ihren Alarm ein. Wählen Sie Weiter aus.

11. Überprüfen Sie die Einstellungen für Ihren Alarm, und wählen Sie dann Create alarm (Alarm erstellen) aus.

Der folgende Alarm überwacht das Datenverkehrsvolumen, das von VPN-Tunnel an Ihr Netzwerk gesendet wird, und sendet eine Benachrichtigung, wenn innerhalb von 15 Minuten weniger als 1 000 000 Byte eingehen.

So erstellen Sie einen Alarm für ausgehenden Netzwerkdatenverkehr

1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

2. Erweitern Sie im Navigationsbereich Alarme, dann Alle Alarme.

3. Wählen Sie Alarm erstellen und dann Metrik auswählen aus.

4. Wählen Sie VPN und dann VPN Tunnel Metrics (VPN-Tunnelmetriken) aus.

5. Wählen Sie die IP-Adresse des VPN-Tunnels und die TunnelDataOutMetrik aus. Wählen Sie Select metric (Ausgewählte Metrik) aus.

6. Geben Sie bei Statistic (Statistik) Sum (Summe) an.

7. Wählen Sie bei Period (Zeitraum) 15 minutes (15 Minuten) aus.

8. Wählen Sie für Whenever (Jedes Mal) die Option Lower/Equal (Kleiner/Gleich) (<=) aus, und geben Sie 1000000 ein. Wählen Sie Weiter aus.

9. Wählen Sie unter Select an SNS topic (Ein SNS-Thema auswählen) eine vorhandene Benachrichtigungsliste oder New list (Neue Liste) aus, um eine neue zu erstellen. Wählen Sie Weiter aus.

10. Geben Sie einen Namen und eine Beschreibung für Ihren Alarm ein. Wählen Sie Weiter aus.

11. Überprüfen Sie die Einstellungen für Ihren Alarm, und wählen Sie dann Create alarm (Alarm erstellen) aus.

Weitere Beispiele für die Erstellung von Alarmen finden Sie unter CloudWatch Amazon-Alarme erstellen im CloudWatch Amazon-Benutzerhandbuch.