アマゾン CloudWatch を使用した VPN トンネルのモニタリング - AWS Site-to-Site VPN

アマゾン CloudWatch を使用した VPN トンネルのモニタリング

CloudWatch を使用して VPN トンネルをモニタリングすることで、VPN サービスから raw データを収集し、リアルタイムに近い読み取り可能なメトリクスに加工することができます。これらの統計は 15 か月間記録されるため、履歴情報にアクセスしてウェブアプリケーションやサービスの動作をより的確に把握できます。VPN メトリクスデータは、利用可能になると自動的に CloudWatch に送信されます。

重要

CloudWatch メトリクスは、AWS Classic VPN 接続ではサポートされません。詳細については、「Site-to-Site VPN カテゴリ」を参照してください。

詳細については、Amazon CloudWatch ユーザーガイドを参照してください。

VPN トンネルのメトリクスとディメンション

VPN トンネルでは、次のメトリクスを使用できます。

メトリクス 説明

TunnelState

トンネルの状態。静的 VPN の場合、0 は DOWN を示し、1 は UP を示します。BGP VPN の場合、1 は ESTABLISHED を示し、0 は他のすべての状態に使用されます。どちらのタイプの VPN でも、0~1 の値は、少なくとも 1 つのトンネルが UP 状態ではないことを示します。

単位: 0 から 1 までの少数値

TunnelDataIn

カスタマーゲートウェイから VPN トンネルを介した接続の AWS 側で受信したバイト数。各メトリクスのデータポイントは、前のデータポイント以降に受信されたバイトの数を表します。該当期間中に受信されたバイトの総数を表示するには Sum 統計を使用します。

このメトリクスは、復号化の後のデータをカウントします。

単位: バイト

TunnelDataOut

VPN トンネルを介した接続の AWS 側からカスタマーゲートウェイに送信されたバイト数。各メトリクスのデータポイントは、前のデータポイント以降に送信されたバイトの数を表します。該当期間中に送信されたバイトの総数を表示するには Sum 統計を使用します。

このメトリクスは、暗号化の前のデータをカウントします。

単位: バイト

メトリクスデータをフィルタリングするために以下のディメンションを使用します。

ディメンション 説明

VpnId

Site-to-Site VPN 接続 ID でメトリクスデータをフィルタリングします。

TunnelIpAddress

仮想プライベートゲートウェイのトンネルの IP アドレスでメトリクスデータをフィルタリングします。

VPN トンネル CloudWatch メトリクスの表示

新しい Site-to-Site VPN 接続を作成するときに、VPN サービスは VPN トンネルに関する次のメトリクスが利用可能になると、それを CloudWatch に送信します。以下のように、VPN トンネルのメトリクスを表示できます。

CloudWatch コンソールを使用してメトリクスを表示するには

メトリクスはまずサービスの名前空間ごとにグループ化され、次に各名前空間内のさまざまなディメンションの組み合わせごとにグループ化されます。

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで [メトリクス] を選択します。

  3. [All metrics] で、[VPN] メトリクス名前空間を選択します。

  4. メトリクス (Site-to-Site VPN 接続用など) を表示するメトリクスディメンションを選択します。

AWS CLI を使ってメトリクスを表示するには

コマンドプロンプトで、次のコマンドを使用します。

aws cloudwatch list-metrics --namespace "AWS/VPN"

VPN トンネルをモニタリングする CloudWatch アラームの作成

アラームの状態が変わったときに Amazon SNS メッセージを送信する Amazon CloudWatch のアラームを作成することができます。アラームは指定された期間にわたって単一のメトリクスをモニタリングし、複数の期間にわたり既定のしきい値に関連するメトリクス値に基づいて Amazon SNS トピックに通知を送信します。

たとえば、VPN トンネルの状態をモニタリングし、15 分以内に 3 つのデータポイントでトンネルがダウン状態になったときに通知を送信するようなアラームを作成できます。

トンネル状態のアラームを作成するには

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで、[アラーム]、[アラームの作成] の順にクリックします。

  3. [メトリクスの選択] を選択します。

  4. [VPN] を選択し、[VPN トンネルのメトリクス] を選択します。

  5. VPN トンネルの IP アドレスと [TunnelState] メトリクスを選択します。[メトリクスの選択] を選択します。

  6. [Next] を選択します。

  7. 次のいずれかの操作を実行し、[Additional configuration] (その他の設定) で、アラームを送信するデータポイントとして 3 を入力します。[Next] を選択します。

    • 両方のトンネルがダウンする場合を監視するには、[Whenever] (次の時) で [Lower/Equal (<=)] (以下 (<=)) を選択し、0.5 を入力します。

    • いずれかのトンネルの DOWN 状態を監視するには、[Whenever] (次の時) で、[Lower (<)] (より低い (<)) を選択し、1 を入力します。

  8. [SNS トピックの選択] で、既存の通知リストを選択するか、新しい通知リストを作成します。[Next] を選択します。

  9. アラームの名前と説明を入力します。[Next] を選択します。

  10. アラームの設定を確認し、[アラームの作成] をクリックします。

Site-to-Site VPN 接続の状態を監視するアラームを作成できます。例えば、1 つまたは両方のトンネルのダウン状態が 5 分間 (1 つの期間) 連続した場合に通知を送信するアラームを作成できます。

Site-to-Site VPN 接続状態のアラームを作成するには

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで、[アラーム]、[アラームの作成] の順にクリックします。

  3. [メトリクスの選択] を選択します。

  4. [VPN] を選択し、[VPN 接続のメトリクス] を選択します。

  5. Site-to-Site VPN 接続と [TunnelState] メトリクスを選択します。[メトリクスの選択] を選択します。

  6. [統計] で、[最大] を指定します。

    または、両方のトンネルがアップとなるように Site-to-Site VPN 接続を設定している場合は、[最小] の統計を指定し、少なくとも 1 つのトンネルがダウンとなったときに通知を送信することができます。

  7. [Whenever] (次の時) で、[Lower/Equal (<=)] (以下 (<=)) を選択し、0 と入力します (または、少なくとも 1 つのトンネルがダウンしている場合は 0.5 と入力します)。[Next] を選択します。

  8. [SNS トピックの選択] で、既存の通知リストを選択するか、[新しいリスト] をクリックして新しいリストを作成します。[Next] を選択します。

  9. アラームの名前と説明を入力します。[Next] を選択します。

  10. アラームの設定を確認し、[アラームの作成] をクリックします。

VPN トンネルに出入りするトラフィックの量をモニタリングするアラームを作成することもできます。たとえば、次のアラームはネットワークから VPN トンネルに入るトラフィックの量をモニタリングし、15 分の期間中にバイト数がしきい値の 5,000,000 に達したときに通知を送信します。

着信ネットワークトラフィック用のアラームを作成するには

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで、[アラーム]、[アラームの作成] の順にクリックします。

  3. [メトリクスの選択] を選択します。

  4. [VPN] を選択し、[VPN トンネルのメトリクス] を選択します。

  5. VPN トンネルの IP アドレスと [TunnelDataIn] メトリクスを選択します。[メトリクスの選択] を選択します。

  6. [統計] で、[合計] を指定します。

  7. [期間] で、[15 分] を選択します。

  8. [Whenever] (次の時) で、[Greater/Equal(>=)] (以上 (>=)) を選択し、5000000 と入力します。[Next] を選択します。

  9. [SNS トピックの選択] で、既存の通知リストを選択するか、[新しいリスト] をクリックして新しいリストを作成します。[Next] を選択します。

  10. アラームの名前と説明を入力します。[Next] を選択します。

  11. アラームの設定を確認し、[アラームの作成] をクリックします。

次のアラームは、VPN トンネルからネットワークに出るトラフィックの量をモニタリングし、15 分の期間中にバイト数が 1,000,000 より少なくなると通知を送信します。

発信ネットワークトラフィック用のアラームを作成するには

  1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインで、[アラーム]、[アラームの作成] の順にクリックします。

  3. [メトリクスの選択] を選択します。

  4. [VPN] を選択し、[VPN トンネルのメトリクス] を選択します。

  5. VPN トンネルの IP アドレスと [TunnelDataOut] メトリクスを選択します。[メトリクスの選択] を選択します。

  6. [統計] で、[合計] を指定します。

  7. [期間] で、[15 分] を選択します。

  8. [次の時] で、[以下 (<=)] を選択し、「1000000」と入力します。[Next] を選択します。

  9. [SNS トピックの選択] で、既存の通知リストを選択するか、[新しいリスト] をクリックして新しいリストを作成します。[Next] を選択します。

  10. アラームの名前と説明を入力します。[Next] を選択します。

  11. アラームの設定を確認し、[アラームの作成] をクリックします。

アラームの作成のその他の例については、Amazon CloudWatch ユーザーガイドの「Amazon CloudWatch アラームの作成」を参照してください。