本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
监控 AWS Site-to-Site VPN 连接
监控是维护 AWS Site-to-Site VPN 连接的可靠性、可用性和性能的重要组成部分。您应从 解决方案的所有部分收集监控数据,以便更轻松地调试出现的多点故障。但是,在开始监控 Site-to-Site VPN 连接之前,您应该制定一份包含以下问题答案的监控计划:
-
监控目的是什么?
-
您将监控哪些资源?
-
监控这些资源的频率如何?
-
您将使用哪些监控工具?
-
谁负责执行监控任务?
-
出现错误时应通知谁?
下一步,通过在不同时间和不同负载条件下测量性能,在您的环境中建立正常 VPN 性能的基准。监控 VPN 时,将历史监控数据存储起来,以便可以与当前性能数据进行比较,确定正常性能模式和异常性能表现,并设计出问题解决方法。
要建立基准,您应监控以下各项:
-
您的 VPN 隧道的状态
-
传入隧道中的数据
-
从隧道传出的数据
监控工具
AWS 提供了可用于监控 Site-to-Site VPN 连接的各种工具。您可以配置其中的一些工具来为您执行监控任务,但有些工具需要手动干预。建议您尽可能实现监控任务自动化。
自动监控工具
您可以使用以下自动监控工具来监视 Site-to-Site VPN 连接并在出现问题时进行报告:
-
A CloudWatch mazon Alarms — 在您指定的时间段内观察单个指标,并根据该指标在多个时间段内相对于给定阈值的值执行一项或多项操作。该操作是发送给 Amazon SNS 主题的通知。 CloudWatch 警报不会仅仅因为它们处于特定状态就调用操作;该状态必须已更改并保持了指定的时间段。有关更多信息,请参阅 使用 Amazon 监控 AWS Site-to-Site VPN 隧道 CloudWatch。
AWS CloudTrail 日志监控-在账户之间共享日志文件,通过将 CloudTrail 日志文件发送到 “日志” 来实时监控 CloudWatch 日志文件,用 Java 编写日志处理应用程序,并验证您的日志文件在传送后是否未更改 CloudTrail。有关更多信息,请参阅《Amazon API 参考》 AWS CloudTrail中的 “使用记录 EC2 API 调用” 和 “AWS CloudTrail 用户指南” 中的 “使用 CloudTrail 日志文件”。
-
AWS Health 事件-接收与 Site-to-Site VPN 隧道运行状况变化、最佳实践配置建议或接近扩展限制时相关的警报和通知。使用 Personal Health Dashboard 上的事件来触发自动失效转移、缩短故障排除时间或优化连接以实现高可用性。有关更多信息,请参阅 AWS Health 和 AWS Site-to-Site VPN 事件。
手动监控工具
监控 Site-to-Site VPN 连接的另一个重要部分是手动监控 CloudWatch 警报未涵盖的项目。Amazon VPC 和 CloudWatch 控制台控制面板提供您的 AWS 环境状态 at-a-glance视图。
注意
在 Amazon VPC 控制台中, Site-to-SiteVPN 隧道状态参数(例如 “状态” 和 “上次状态更改”)可能无法反映瞬态状态变化或隧道瞬间抖动。建议使用 CloudWatch 指标和日志进行精细的隧道状态更改更新。
-
Amazon VPC 控制面板显示:
-
服务运行状况(按区域)
-
Site-to-Site VPN 连接
-
VPN 隧道状态(在导航窗格中,选择 Site-to-Site VPN 连接,选择 Site-to-Site VPN 连接,然后选择隧道详细信息)
-
-
CloudWatch 主页显示:
-
当前告警和状态
-
告警和资源图表
-
服务运行状况
此外,您还可以使用 CloudWatch 执行以下操作:
-
创建自定义控制面板以监控您关心的服务
-
绘制指标数据图,以排除问题并弄清楚趋势
-
搜索和浏览您的所有 AWS 资源指标
-
创建和编辑告警以接收问题通知
-