使用 Amazon 监控 VPN 隧道 CloudWatch - AWS Site-to-Site VPN
VPN 指标和维度查看 VPN CloudWatch 指标创建 CloudWatch 警报以监控 VPN 隧道

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon 监控 VPN 隧道 CloudWatch

您可以使用监控 VPN 隧道 CloudWatch,它收集来自 VPN 服务的原始数据并将其处理为可读的近乎实时的指标。这些统计数据会保存 15 个月,从而使您能够访问历史信息,并能够更好地了解您的 Web 应用程序或服务的执行情况。VPN 指标数据可用 CloudWatch 时会自动发送到。

有关更多信息,请参阅 Amazon CloudWatch 用户指南

VPN 指标和维度

以下 CloudWatch 指标可用于您的站点到站点 VPN 连接。

指标 描述

TunnelState

隧道的状态。对于静态 VPN,0 表示关闭,1 表示运行。对于 BGP VPN,1 表示已建立,0 用于所有其他状态。对于两种 VPN 类型,值介于 0 和 1 之间表示至少有一条隧道未开启。

单位:介于 0 和 1 之间的小数值

TunnelDataIn

连接 AWS 侧通过 VPN 隧道从客户网关接收的字节。每个指标数据点代表在前一数据点后接收的字节数。使用 Sum 统计数据显示在此期间收到的总字节数。

该指标对解密后的数据进行计数。

单位:字节

TunnelDataOut

从连接 AWS 侧通过 VPN 隧道发送到客户网关的字节。每个指标数据点代表在前一数据点后发送的字节数。使用 Sum 统计数据显示在此期间发送的总字节数。

该指标对加密前的数据进行计数。

单位:字节

† 即使隧道关闭,这些指标也可以报告网络使用情况。这是因为系统会定期检查隧道状态,以及后台 ARP 和 BGP 请求。

要筛选指标数据,请使用以下维度。

维度 描述

VpnId

按 Site-to-Site VPN 连接 ID 筛选指标数据。

TunnelIpAddress

按虚拟专用网关隧道的 IP 地址筛选指标数据。

查看 VPN CloudWatch 指标

当您创建站点到站点 VPN 连接时,VPN 服务会在可用时向其发送有关您的 VPN 连接的 CloudWatch指标。您可以按如下方式查看 VPN 连接的指标。

使用 CloudWatch 控制台查看指标

指标的分组首先依据服务命名空间,然后依据每个命名空间内的各种维度组合。

  1. 打开 CloudWatch 控制台,网址为 https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,选择指标

  3. All metrics 下,选择 VPN 指标命名空间。

  4. 选择指标维度以查看指标(例如,VPN 隧道指标)。

注意

在您正在查看的 AWS 区域中创建了站点到站点 VPN 连接后,VPN 命名空间才会出现在 CloudWatch 控制台中。

要查看指标,请使用 AWS CLI

在命令提示符处输入下面的命令:

aws cloudwatch list-metrics --namespace "AWS/VPN"

创建 CloudWatch 警报以监控 VPN 隧道

您可以创建一个 CloudWatch 警报,当警报状态发生变化时,该警报会发送 Amazon SNS 消息。警报会每隔一段时间(间隔由您指定)监控一个指标,并根据指标值与给定阈值的相对关系每隔若干个时间段向 Amazon SNS 主题发送一个通知。

例如,您可以创建警报来监控单个 VPN 隧道的状态,并在隧道状态在 15 分钟内的 3 个数据点为 DOWN 时发送通知。

创建单个隧道状态的警报

  1. 打开 CloudWatch 控制台,网址为 https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,展开警报,然后选择所有警报

  3. 选择创建警报,然后选择选择指标

  4. 选择 VPN,然后选择 VPN 隧道指标

  5. 选择所需隧道的 IP 地址,与TunnelState指标位于同一行。选择选择指标

  6. 因为无论何时 TunnelState 是... ,选择 L ow er,然后在 th an... 下的输入字段中输入 “1” 。

  7. 其他配置下,对于要发出警报的数据点,将输入设置为“三取三”。

  8. 选择下一步

  9. 向以下 SNS 主题发送通知下,选择一个现有的通知列表或创建一个新的通知列表。

  10. 选择下一步

  11. 输入警报的名称。选择下一步

  12. 检查警报的设置,然后选择创建警报

您可以创建一个监控 Site-to-Site VPN 连接状态的警报。例如,您可以创建一个警报,以在一条或两条隧道的状态在一个 5 分钟的时段内为 DOWN 时发送通知。

创建 Site-to-Site VPN 连接状态的警报

  1. 打开 CloudWatch 控制台,网址为 https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,展开警报,然后选择所有警报

  3. 选择创建警报,然后选择选择指标

  4. 选择 VPN,然后选择 VPN 连接指标

  5. 选择您的站点到站点 VPN 连接和指标。TunnelState选择选择指标

  6. 对于统计数据,指定最大

    或者,如果您已将 Site-to-Site VPN 连接配置为两个隧道都开启,则可以指定 Minimum(最小值)统计数据,以便在至少一个隧道关闭时发送通知。

  7. 对于 Whenever(每当),选择 Lower/Equal(小于/等于,(<=))并输入 0(或当至少有一个隧道处于关闭状态时,为 0.5)。选择 Next (下一步)

  8. 选择 SNS 主题下,选择现有通知列表或选择新建列表,创建一个新列表。选择下一步

  9. 为您的警报输入名称和描述。选择下一步

  10. 检查警报的设置,然后选择创建警报

您还可以创建警报来监控进入或离开 VPN 隧道的流量。例如,下面的警报监控从您的网络进入 VPN 隧道的流量,当字节数在 15 分钟内达到阈值 5000000 时发送通知。

创建传入网络流量警报

  1. 打开 CloudWatch 控制台,网址为 https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,展开警报,然后选择所有警报

  3. 选择创建警报,然后选择选择指标

  4. 选择 VPN,然后选择 VPN 隧道指标

  5. 选择 VPN 隧道的 IP 地址和TunnelData输入指标。选择选择指标

  6. 对于统计数据,指定总和

  7. 对于时段,选择 15 分钟

  8. 对于 Whenever(每当),选择 Greater/Equal大于/等于,>=),然后输入 5000000。选择 Next (下一步)

  9. 选择 SNS 主题下,选择现有通知列表或选择新建列表,创建一个新列表。选择下一步

  10. 为您的警报输入名称和描述。选择下一步

  11. 检查警报的设置,然后选择创建警报

下面的警报监控离开 VPN 隧道进入您的网络的流量,当字节数在 15 分钟内少于 1000000 时发送通知。

创建传出网络流量警报

  1. 打开 CloudWatch 控制台,网址为 https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,展开警报,然后选择所有警报

  3. 选择创建警报,然后选择选择指标

  4. 选择 VPN,然后选择 VPN 隧道指标

  5. 选择 VPN 隧道的 IP 地址和 “输TunnelData出” 度量。选择选择指标

  6. 对于统计数据,指定总和

  7. 对于时段,选择 15 分钟

  8. 对于每当,选择小于/等于 (<=),然后输入 1000000。选择 Next (下一步)

  9. 选择 SNS 主题下,选择现有通知列表或选择新建列表,创建一个新列表。选择下一步

  10. 为您的警报输入名称和描述。选择下一步

  11. 检查警报的设置,然后选择创建警报

有关创建警报的更多示例,请参阅亚马逊 CloudWatch 用户指南中的创建亚马逊 CloudWatch 警报