本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Site-to-Site VPN 日志
AWS Site-to-Site VPN 日志可让您更深入地了解您的站点到站点 VPN 部署。使用此功能,您可以访问 Site-to-Site VPN 连接日志,这些日志提供有关 IP 安全性(IPsec)隧道建立、互联网密钥交换(IKE)协商和失效对端检测(DPD)协议消息的详细信息。
站点到站点 VPN 日志可以发布到 Amazon 日志。 CloudWatch 此功能为客户提供了一种一致的方式来访问和分析其所有 Site-to-Site VPN 连接的详细日志。
内容
Site-to-Site VPN 日志的优势
-
简化的 VPN 故障排除:站点到站点 VPN 日志可帮助您查明与您的客户网关设备之间的配置不匹配情况, AWS 并解决初始 VPN 连接问题。VPN 连接可能由于设置配置错误(例如超时调整不当)而随时间推移发生间歇性抖动,底层传输网络中可能存在问题(例如互联网天气),或者路由更改或路径故障可能导致通过 VPN 的连接中断。此功能可让您准确地诊断间歇性连接故障的原因,并微调低级别隧道配置以实现可靠运行。
-
集中 AWS Site-to-Site VPN 可见性:站点到站点 VPN 日志可以为站点到站点 VPN 的所有不同连接方式提供隧道活动日志:虚拟网关、Transit Gateway,以及同时使用互联网和 CloudHub作为传输方式。 AWS Direct Connect 此功能为客户提供了一种一致的方式来访问和分析其所有 Site-to-Site VPN 连接的详细日志。
-
安全与合规:可以将站点到站点 VPN 日志发送到 Amazon Logs,以便对一 CloudWatch 段时间内的 VPN 连接状态和活动进行回顾性分析。这可以帮助您满足合规性和法规要求。
Amaz CloudWatch on Logs 资源策略大小限制
CloudWatch 日志资源策略限制为 5120 个字符。当 CloudWatch Logs 检测到策略接近此大小限制时,它会自动启用以开头的日志组/aws/vendedlogs/
。启用日志记录后,站点到站点 VPN 必须使用您指定的 CloudWatch 日志组更新您的日志资源策略。为避免达到 CloudWatch 日志资源策略大小限制,请在日志组名称前加上/aws/vendedlogs/
。
发布到 CloudWatch 日志的 IAM 要求
为了使日志记录功能正常运行,附加到用于配置该功能的 IAM 主体的 IAM policy 必须至少包含以下权限。更多详情也可以在《Amazon L og CloudWatch s 用户指南》的 “启用某些 AWS 服务的日志记录” 部分中找到。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "logs:CreateLogDelivery", "logs:GetLogDelivery", "logs:UpdateLogDelivery", "logs:DeleteLogDelivery", "logs:ListLogDeliveries" ], "Resource": [ "*" ], "Effect": "Allow", "Sid": "S2SVPNLogging" }, { "Sid": "S2SVPNLoggingCWL", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "*" ], "Effect": "Allow" } ] }
查看 Site-to-Site VPN 日志配置
查看当前隧道日志记录设置
通过 https://console.aws.amazon.com/vpc/
打开 Amazon VPC 控制台。 -
在导航窗格中,选择 Site-to-Site VPN Connections(Site-to-Site VPN 连接)。
-
从 VPN connections(VPN 连接)列表中选择要查看的 VPN 连接。
-
选择 Tunnel details(隧道详细信息)选项卡。
-
展开 Tunnel 1 options(隧道 1 选项)和 Tunnel 2 options(隧道 2 选项)部分,以查看所有隧道配置详细信息。
-
您可以在 Tunn el VPN 日志下查看日志功能的当前状态,也可以在 CloudWatch日志组下查看当前配置的CloudWatch 日志组(如果有)。
使用命令行或 API 查看站点到站点 VPN 连接上的当前隧道日志设置 AWS
-
DescribeVpn连接(亚马逊 EC2 查询 API)
-
describe-vpn-connections
(AWS CLI)
启用 Site-to-Site VPN 日志
注意
当您为现有 VPN 连接隧道启用 Site-to-Site VPN 日志时,通过该隧道的连接可能会中断几分钟。但是,每个 VPN 连接都提供两条隧道以实现高可用性,因此,您可以一次对一条隧道启用日志记录,同时保持通过此隧道的连接不被修改。有关更多信息,请参阅 站点到站点 VPN 隧道终端节点替换。
创建新的 Site-to-Site VPN 连接时启用 VPN 日志记录
按照步骤 5:创建 VPN 连接过程操作。在步骤 9 Tunnel Options(隧道选项)期间,您可以指定要用于这两条隧道的所有选项,包括 VPN logging(VPN 日志记录)选项。有关这些选项的详细信息,请参阅 站点到站点 VPN 连接的隧道选项。
使用命令行或 API 在新的站点到站点 VPN 连接上启用隧道日志记录 AWS
-
CreateVpn连接(亚马逊 EC2 查询 API)
-
create-vpn-connection
(AWS CLI)
对现有 Site-to-Site VPN 连接启用隧道日志记录
通过 https://console.aws.amazon.com/vpc/
打开 Amazon VPC 控制台。 -
在导航窗格中,选择 Site-to-Site VPN Connections(Site-to-Site VPN 连接)。
-
从 VPN connections(VPN 连接)列表中选择要修改的 VPN 连接。
-
依次选择 Actions(操作)、Modify VPN tunnel options(修改 VPN 隧道选项)。
-
通过从 VPN tunnel outside IP address(VPN 隧道外部 IP 地址)列表中选择适当的 IP 地址,选择要修改的隧道。
-
在 Tunnel activity log(隧道活动日志)下,选择 Enable(启用)。
-
在 Amazon CloudWatch 日志组下,选择要将日志发送到的亚马逊 CloudWatch 日志组。
-
(可选)在 Output format(输出格式)下,选择日志输出的所需格式:json 或 text(文本)。
-
选择 Save changes(保存更改)。
-
(可选)如果需要,对其它隧道重复步骤 4 到 9。
使用命令行或 API 在现有站点到站点 VPN 连接上启用隧道日志记录 AWS
-
ModifyVpnTunnelOptions(亚马逊 EC2 查询 API)
-
modify-vpn-tunnel-options
(AWS CLI)
禁用 Site-to-Site VPN 日志
对 Site-to-Site VPN 连接禁用隧道日志记录
通过 https://console.aws.amazon.com/vpc/
打开 Amazon VPC 控制台。 -
在导航窗格中,选择 Site-to-Site VPN Connections(Site-to-Site VPN 连接)。
-
从 VPN connections(VPN 连接)列表中选择要修改的 VPN 连接。
-
依次选择 Actions(操作)、Modify VPN tunnel options(修改 VPN 隧道选项)。
-
通过从 VPN tunnel outside IP address(VPN 隧道外部 IP 地址)列表中选择适当的 IP 地址,选择要修改的隧道。
-
在 Tunnel activity log(隧道活动日志)下,清除 Enable(启用)。
-
选择 Save changes(保存更改)。
-
(可选)如果需要,对其它隧道重复步骤 4 到 7。
使用命令行或 API 在站点到站点 VPN 连接上禁用隧道日志记录 AWS
-
ModifyVpnTunnelOptions(亚马逊 EC2 查询 API)
-
modify-vpn-tunnel-options
(AWS CLI)