使用 Amazon 監控 VPN 隧道 CloudWatch - AWS Site-to-Site VPN

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon 監控 VPN 隧道 CloudWatch

您可以使用監控 VPN 隧道 CloudWatch,該隧道將 VPN 服務的原始數據收集並處理為可讀的近乎即時的指標。這些統計資料會記錄 15 個月的時間,以便您存取歷史資訊,並更清楚 Web 應用程式或服務的執行效能。VPN 指標資料會在可用時自動傳送至 CloudWatch 。

如需詳細資訊,請參閱 Amazon CloudWatch 使用者指南

VPN 指標和維度

下列 CloudWatch 度量可用於您的 Site-to-Site VPN 連線。

指標 描述

TunnelState

通道的狀態。對於靜態 VPN,0 表示 DOWN,1 表示 UP。對於 BGP VPN,1 表示 ESTABLISHED,0 用於其他所有狀態。對於這兩種類型的 VPN,介於 0 到 1 之間的值表示至少有一個通道不是 UP。

單位:介於 0 到 1 之間的分數值

TunnelDataIn

從客戶閘道透過 VPN 通道在連線 AWS 端接收的位元組。每個指標資料點皆代表在前一個資料點之後接收到的位元組數。使用 Sum 統計資訊顯示在一個期間內接收到的位元組總數。

此指標對解密後的資料進行計數。

單位:位元組

TunnelDataOut

從連線 AWS 端透過 VPN 通道傳送至客戶閘道的位元組。每個指標資料點皆代表在前一個資料點之後傳送的位元組數。使用 Sum 統計資訊顯示在一個期間內傳送的位元組總數。

此指標對加密前的資料進行計數。

單位:位元組

† 即使通道關閉,這些指標也可以報告網路使用情況。這是由於對通道執行了定期狀態檢查,以及背景 ARP 和 BGP 請求。

若要篩選指標資料,請使用下列維度。

維度 描述

VpnId

可藉由站台對站台 VPN 連接 ID 來篩選指標資料。

TunnelIpAddress

可藉由虛擬私有閘道的通道 IP 地址來篩選指標資料。

檢視 VPN CloudWatch 指標

當您建立 Site-to-Site VPN 連線時,VPN 服務會在 VPN 連線可用時傳送有關 VPN 連 CloudWatch線的指標。您可以依照下列說明檢視您的 VPN 連線指標。

使用 CloudWatch 主控台檢視指標

指標會先依服務命名空間分組,再依各命名空間內不同的維度組合分類。

  1. 請在以下位置開啟 CloudWatch 主控台。 https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 指標

  3. All metrics (所有指標) 下,選擇 VPN 指標命名空間。

  4. 選取指標維度以檢視指標 (例如,VPN 通道指標)。

注意

在您檢視的 AWS 區域中建立 Site-to-Site VPN 連線之後,VPN 命名空間才會出現在 CloudWatch 主控台中。

若要使用 AWS CLI

在命令提示中,使用下列命令:

aws cloudwatch list-metrics --namespace "AWS/VPN"

建立 CloudWatch 警示以監控 VPN 通道

您可以建立 CloudWatch 警示,在警示狀態變更時傳送 Amazon SNS 訊息。警示會監看您指定期間內的單一指標,然後根據若干這樣的時段內相對於指定閾值的指標值,向 Amazon SNS 主題傳送通知。

例如,您可以建立警示來監控單一 VPN 通道的狀態,並且在 15 分鐘內有 3 個資料點的通道狀態為 DOWN (關閉) 的情況下傳送通知。

建立單一通道狀態的警示
  1. 請在以下位置開啟 CloudWatch 主控台。 https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,展開警示,然後選擇所有警示

  3. 選擇建立警示,然後選擇選取指標

  4. 選擇 VPN,然後選擇 VPN 通道指標

  5. 選取所需通道的 IP 位址,並在與TunnelState量度相同的行上。選擇選取指標

  6. 對於每 TunnelState 當... ,選取 [],然後在 [比...] 底下的輸入欄位中輸入「1」。

  7. 其他組態下,將要發出警示的資料點數量的輸入設定為「3 個中有 3 個」。

  8. 選擇下一步

  9. 傳送通知至下列 SNS 主題底下,選取現有的通知清單或建立新清單。

  10. 選擇下一步

  11. 輸入警示的名稱。選擇下一步

  12. 檢查警示的設定,然後選擇 Create alarm (建立警示)

您可以建立用於監控站台對站台 VPN 連接狀態的警示。例如,您可以建立警示,在一或兩個通道的狀態為 DOWN (關閉) 連續 5 分鐘時傳送通知。

建立站台對站台 VPN 連接狀態警示
  1. 請在以下位置開啟 CloudWatch 主控台。 https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,展開警示,然後選擇所有警示

  3. 選擇建立警示,然後選擇選取指標

  4. 選擇 VPN,然後選擇 VPN Connection Metrics (VPN 連線指標)

  5. 選取您的 Site-to-Site VPN 連線和指標。TunnelState選擇 Select metric (選取指標)

  6. 對於 Statistic (統計資料),指定 Maximum (最大值)

    或者,如果您已將站台對站台 VPN 連接設定為兩個通道都開啟,則您可以指定 Minimum (最小) 的統計資料,以便在至少一個通道關閉時傳送通知。

  7. 對於 Whenever (每當),請選擇 Lower/Equal (低於/等於) (<=) 並輸入 0 (或 0.5,適用於至少有一個通道關閉時)。選擇下一步

  8. Select an SNS topic (選取 SNS 主題) 下選取現有的通知清單,或選擇 New list (新增清單) 以建立新的清單。選擇下一步

  9. 輸入規則的名稱和說明。選擇下一步

  10. 檢查警示的設定,然後選擇 Create alarm (建立警示)

您也可以建立警示,監控傳入或傳出 VPN 通道的流量。例如,下列警示會監控從您網路傳入 VPN 通道的流量,當位元組數在 15 分鐘的期間內達到閾值 5,000,000 時傳送通知。

建立傳入網路流量警示
  1. 請在以下位置開啟 CloudWatch 主控台。 https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,展開警示,然後選擇所有警示

  3. 選擇建立警示,然後選擇選取指標

  4. 選擇 VPN,然後選擇 VPN Tunnel Metrics (VPN 通道指標)

  5. 選取 VPN 通道的 IP 位址和輸TunnelData入量度。選擇 Select metric (選取指標)

  6. 對於 (Statistic) 統計資料,指定 (Sum) 總和

  7. 對於 Period (期間),選取 15 分鐘 (15 minutes)

  8. 對於 Whenever (每當),選擇 Greater/Equal (大於/等於)(>=),然後輸入 5000000。選擇下一步

  9. Select an SNS topic (選取 SNS 主題) 下選取現有的通知清單,或選擇 New list (新增清單) 以建立新的清單。選擇下一步

  10. 輸入規則的名稱和說明。選擇下一步

  11. 檢查警示的設定,然後選擇 Create alarm (建立警示)

下列警示會監控從 VPN 通道傳入您網路的流量,當位元組數在 15 分鐘期間小於 1,000,000 時傳送通知。

建立傳出網路流量警示
  1. 請在以下位置開啟 CloudWatch 主控台。 https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,展開警示,然後選擇所有警示

  3. 選擇建立警示,然後選擇選取指標

  4. 選擇 VPN,然後選擇 VPN Tunnel Metrics (VPN 通道指標)

  5. 選取 VPN 通道的 IP 位址和TunnelData輸出量度。選擇 Select metric (選取指標)

  6. 對於 (Statistic) 統計資料,指定 (Sum) 總和

  7. 對於 Period (期間),選取 15 分鐘 (15 minutes)

  8. 對於Whenever (每當),選擇 Lower/Equal (降低/等於) (<=),然後輸入 1000000。選擇下一步

  9. Select an SNS topic (選取 SNS 主題) 下選取現有的通知清單,或選擇 New list (新增清單) 以建立新的清單。選擇下一步

  10. 輸入規則的名稱和說明。選擇下一步

  11. 檢查警示的設定,然後選擇 Create alarm (建立警示)

如需建立警示的更多範例,請參閱 Amazon CloudWatch 使用者指南中的建立 Amazon CloudWatch 示。