Analisis instans ECS bertrafik tinggi dalam Internet NAT Gateway - NAT Gateway

Lonjakan tiba-tiba pada lalu lintas internet dapat menyebabkan Internet NAT Gateway Anda mencapai batas kapasitas dan bandwidth-nya, sehingga memperlambat layanan dan mengganggu operasi bisnis. Anda dapat menggunakan VPC flow logs untuk menganalisis lalu lintas dari instans ECS yang menggunakan aturan SNAT dalam Internet NAT Gateway. Dengan mengidentifikasi instans bertrafik tinggi, Anda dapat mengoptimalkan alokasi bandwidth jaringan dan mengatasi bottleneck jaringan.

Overview

Internet NAT Gateway adalah layanan kelas enterprise yang menyediakan fitur SNAT dan DNAT, memungkinkan pemantauan dan manajemen terperinci terhadap instans yang mengakses internet. Layanan ini juga memungkinkan Anda melihat kontributor lalu lintas utama, mengidentifikasi instans ECS dengan lonjakan lalu lintas mendadak, serta mengakses berbagai metrik pemantauan lalu lintas. Untuk informasi selengkapnya, lihat Internet NAT Gateway.

VPC flow log dapat menangkap lalu lintas dari antarmuka jaringan elastis (ENI) tertentu, VPC tertentu, atau semua ENI dalam vSwitch.

Saat melakukan troubleshooting lalu lintas dari instans ECS yang menggunakan Internet NAT Gateway untuk SNAT atau DNAT, Anda dapat membuat VPC flow log. Flow log tersebut menangkap lalu lintas dari semua ENI di vSwitch tempat gateway NAT berada. Dengan mengaktifkan dan menganalisis VPC flow log, Anda dapat menyelidiki lalu lintas setiap instans ECS secara sistematis, mengelola dan mengoptimalkan instans bertrafik tinggi secara efektif, serta memastikan kinerja jaringan yang stabil.

Key features

Setelah VPC flow log diaktifkan, log tersebut mengumpulkan dan menyimpan data log lalu lintas. Anda dapat melihat dan menganalisis log lalu lintas untuk setiap jalur yang digunakan oleh instans ECS untuk mengakses internet, sehingga memperoleh gambaran komprehensif mengenai lalu lintas jaringan setiap instans.

Lalu lintas antara jaringan internal Anda dan internet dialihkan melalui Internet NAT Gateway. ENI yang terkait dengan Internet NAT Gateway berfungsi sebagai antarmuka untuk lalu lintas masuk dan keluar dari gateway. Anda dapat memantau lalu lintas inbound dan outbound pada ENI ini untuk melacak penggunaan lalu lintas dan konsumsi bandwidth per jalur.

Seperti ditunjukkan pada gambar berikut, jalur lalu lintas dari instans ECS ke internet melalui Internet NAT Gateway dibagi menjadi empat segmen, dengan ENI gateway NAT berfungsi sebagai titik pemisah.

Anda dapat menggunakan Flow Log Center untuk melihat dan menganalisis lalu lintas dalam arah IN dan arah OUT, serta mengidentifikasi ENI yang sedang dipantau.

Segment log examples

Login ke Log Service console untuk melihat data lalu lintas dan field spesifik untuk keempat segmen tersebut. Untuk informasi lebih lanjut mengenai field yang direkam dalam flow log, lihat Flow log records.

Segment	Log example
①	Untuk segmen ①, arah traffic adalah inbound. Alamat IP sumber dan tujuan adalah sebagai berikut: Alamat IP sumber: Alamat IP pribadi instans ECS. Alamat IP tujuan: Alamat IP publik tertentu.
②	Untuk segmen ②, arah traffic adalah outbound. Alamat IP sumber dan tujuan adalah sebagai berikut: Alamat IP sumber: Alamat IP pribadi gateway NAT. Alamat IP tujuan: Alamat IP publik tertentu.
③	Untuk segmen ③, arah traffic adalah inbound. Alamat IP sumber dan tujuan adalah sebagai berikut: Alamat IP sumber: Alamat IP publik tertentu. Alamat IP tujuan: Alamat IP pribadi gateway NAT.
④	Untuk segmen ④, arah traffic adalah outbound. Alamat IP sumber dan tujuan adalah sebagai berikut: Alamat IP sumber: Alamat IP publik tertentu. Alamat IP tujuan: Alamat IP pribadi instans ECS.

Scenarios

Anda dapat menggunakan flow log untuk mengidentifikasi instans ECS bertrafik tinggi yang menggunakan Internet NAT Gateway dalam skenario berikut:

Mengoptimalkan kinerja jaringan: Dalam skenario bisnis berkonkurensi tinggi dan bertrafik tinggi, Anda dapat menggunakan flow log untuk menganalisis lalu lintas outbound dan inbound setiap instans ECS yang menggunakan Internet NAT Gateway. Hal ini membantu mengidentifikasi instans bertrafik tinggi dan menentukan kombinasi instans serta alamat IP sumber yang menyebabkan bottleneck bandwidth, sehingga Anda dapat mengalokasikan resource bandwidth secara lebih efektif untuk mencegah kemacetan jaringan akibat instans yang kelebihan beban.
Mengontrol dan mengoptimalkan biaya: Instans bertrafik tinggi dapat menyebabkan biaya bandwidth yang signifikan. Dengan menganalisis log lalu lintas, Anda dapat mengidentifikasi instans dan alamat IP sumber yang secara konsisten menghasilkan lalu lintas tinggi, lalu mengoptimalkan jalur akses jaringan untuk instans tersebut guna mengurangi lalu lintas yang tidak perlu dan menekan biaya.

Example scenario

Sebuah perusahaan menjalankan beberapa server internal yang menggunakan fitur SNAT dari Internet NAT Gateway untuk mengakses internet. Baru-baru ini, perusahaan tersebut memperhatikan bahwa waktu akses server internal ke resource internet menjadi lebih lama, sehingga menurunkan pengalaman pengguna. Perusahaan ingin mengidentifikasi server dengan lalu lintas tinggi dan mengambil langkah-langkah—seperti mengoptimalkan dan merencanakan ulang resource bandwidth—untuk mengatasi masalah kinerja tersebut.

Topik ini menggunakan skenario yang ditunjukkan pada gambar berikut sebagai contoh. Sebuah perusahaan memiliki VPC di wilayah China (Hangzhou). VPC tersebut berisi tiga instans ECS di vSwitch1. Instans-instans ini menggunakan fitur SNAT dari Internet NAT Gateway di vSwitch2 untuk mengakses internet. Peningkatan mendadak lalu lintas dari server internal ke internet memperlambat tanggapan server dan menurunkan pengalaman pengguna. Perusahaan perlu menggunakan VPC flow log untuk mengidentifikasi instans ECS mana di antara ketiganya yang memiliki lalu lintas tinggi. Informasi ini akan menjadi panduan dalam perencanaan ulang resource guna mengatasi bottleneck kinerja jaringan.

Prerequisites

Anda telah membuat VPC, vSwitch1, dan vSwitch2 di wilayah China (Hangzhou). Untuk informasi selengkapnya, lihat Create and manage a VPC.
Anda telah membuat tiga instans ECS di vSwitch1: ECS01, ECS02, dan ECS03. Untuk informasi selengkapnya, lihat Create an instance by using the wizard.

Anda telah membuat Internet NAT Gateway di vSwitch2 dan membuat entri SNAT tingkat vSwitch untuk gateway NAT tersebut. Entri SNAT tersebut berlaku untuk vSwitch1. Untuk informasi selengkapnya, lihat Use the SNAT feature of an Internet NAT gateway to access the internet.

Parameters

Parameter	Value
VPC	VPC CIDR block: 172.16.0.0/12
vSwitch1 CIDR block	vSwitch CIDR block: 172.16.1.0/24
vSwitch2 CIDR block	vSwitch CIDR block: 172.16.3.0/24
Internet NAT Gateway	Alamat IP pribadi Internet NAT Gateway: 172.16.3.128
elastic IP address	118.XX.XX.86
ECS instances	ECS01 instance: 172.16.1.44 ECS02 instance: 172.16.1.45 ECS03 instance: 172.16.1.46

Procedure

Step 1: Create a flow log

Sebelum membuat flow log, pastikan Anda telah memenuhi prasyarat. Untuk informasi selengkapnya, lihat Prerequisites for using flow logs.

Login ke VPC console.
Di panel navigasi sebelah kiri, pilih O&M and Monitoring > Flow Log.
Di bilah navigasi atas, pilih wilayah target. Dalam contoh ini, China (Hangzhou) dipilih.
Pada halaman Flow Log, klik Create a flow log.

Pada dialog Create a flow log, konfigurasikan parameter sesuai tabel berikut lalu klik OK.

Parameter	Description
Resource Type	Pilih jenis resource yang traffic-nya ingin Anda tangkap. Dalam contoh ini, vSwitch dipilih.
Resource Instance	Pilih instans resource yang traffic-nya ingin Anda tangkap. Dalam contoh ini, ID instans vSwitch1 dipilih.
Data Transfer Type	Pilih jenis traffic yang ingin ditangkap. Untuk contoh ini, pilih {value}.
Analysis and Delivery	Select Mode: Pilih Deliver to Log Service. Lalu, konfigurasikan Project dan Logstore. Pilih Enable Log Analysis Report. Ini akan mengaktifkan pengindeksan untuk Logstore yang dipilih dan membuat dashboard untuk mendukung analisis berbasis SQL dan visual terhadap data.

Step 2: Simulate user traffic

Login ke instans ECS01, ECS02, dan ECS03.
Jalankan perintah berikut pada masing-masing instans ECS01, ECS02, dan ECS03 untuk menginstal tool wrk.
```
yum -y install git make gcc
git clone https://github.com/wg/wrk.git
yum install unzip
cd wrk
make
```
Jalankan perintah berikut pada instans ECS01, ECS02, dan ECS03 untuk mensimulasikan lalu lintas pengguna.

Pada ECS01, jalankan perintah berikut.
```
./wrk -c 1000 -d 60s -t 3  http://101.XX.XX.200:80/  # Ganti 101.XX.XX.200 dengan alamat IP publik tertentu. 
```
Pada ECS02, jalankan perintah berikut.
```
./wrk -c 2000 -d 60s -t 3  http://101.XX.XX.200:80/  # Ganti 101.XX.XX.200 dengan alamat IP publik tertentu.
```
Pada ECS03, jalankan perintah berikut.
```
./wrk -c 3000 -d 60s -t 3  http://101.XX.XX.200:80/  # Ganti 101.XX.XX.200 dengan alamat IP publik tertentu.
```
Parameter dalam perintah tersebut dijelaskan sebagai berikut:
- -c: Jumlah koneksi bersamaan yang dipertahankan untuk setiap thread.
- -d: Durasi pengujian. s menentukan satuan dalam detik.
- -t: Jumlah thread yang digunakan. Setiap thread mensimulasikan satu pengguna bersamaan.

Step 3: View the flow log

Login ke VPC console.
Di panel navigasi sebelah kiri, pilih O&M and Monitoring > Flow Log.
Di bilah navigasi atas, pilih wilayah target. Dalam contoh ini, China (Hangzhou) dipilih.
Pada halaman Flow Log, temukan flow log yang telah Anda buat. Di kolom Simple Log Service, klik nama Logstore untuk menuju ke Log Service console dan melihat informasi lalu lintas.

Ikuti langkah-langkah dalam tabel berikut untuk melihat lalu lintas instans ECS yang mengakses internet melalui entri SNAT Internet NAT Gateway.

Flow log menunjukkan bahwa instans ECS03, dengan alamat IP pribadi 172.16.1.46, memiliki lalu lintas tertinggi.

Step	Description
①	Kueri SQL berikut mengagregasi dan mengurutkan log flow VPC yang dikumpulkan untuk membuat grafik yang menampilkan instans ECS yang menghasilkan traffic tinggi ke alamat IP publik tertentu. `dstaddr: "101.XX.XX.200" and action: ACCEPT and srcaddr: 172.16.1.* \| select date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, srcaddr,sum(bytes8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) as bandwidth group by time,srcaddr order by time asc limit 1000` Kueri SQL ini mendefinisikan tiga field: `time`, `bandwidth` (dalam bps), dan `srcaddr` (alamat sumber). Hasil kueri dikelompokkan berdasarkan `time` dan `srcaddr`, diurutkan berdasarkan `time` secara ascending, dan dibatasi hingga 1.000 entri log. Untuk informasi lebih lanjut mengenai field-field tersebut, lihat VPC flow log fields. Parameter dijelaskan sebagai berikut: `dstaddr`: Alamat tujuan, yaitu alamat IP publik. Dalam contoh ini, yaitu `101.XX.XX.200`. `srcaddr`: Alamat sumber, yaitu alamat IP pribadi instans ECS. Dalam contoh ini, yaitu `172.16.1.`. Untuk field lainnya, gunakan nilai seperti pada contoh. Catatan Untuk memfilter traffic inbound dari alamat IP publik tertentu ke instans ECS, gunakan kueri SQL berikut: `srcaddr: "101.XX.XX.200" and action: ACCEPT and dstaddr: 172.16.1.* \| select date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, dstaddr,sum(bytes8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) as bandwidth group by time,dstaddr order by time asc limit 1000` Parameter dijelaskan sebagai berikut: `srcaddr`: Alamat sumber, yaitu alamat IP publik. Dalam contoh ini, yaitu `101.XX.XX.200`. `dstaddr`: Alamat tujuan, yaitu alamat IP pribadi instans ECS. Dalam contoh ini, yaitu `172.16.1.`. Saat membuat grafik, atur Aggregate Column ke `dstaddr`. Untuk memfilter traffic outbound dari instans ECS ke semua alamat IP publik, gunakan kueri SQL berikut: `srcaddr: 172.16.1.* and action: ACCEPT \| select date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, srcaddr,sum(bytes8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) as bandwidth from log where ip_to_domain(dstaddr)!='intranet' group by time,srcaddr order by time asc limit 1000` Parameter dijelaskan sebagai berikut: `srcaddr`: Alamat sumber, yaitu alamat IP pribadi. Dalam contoh ini, yaitu `172.16.1.`. `dstaddr`: Alamat tujuan, yaitu alamat IP publik. Saat membuat grafik, atur Aggregate Column ke `srcaddr`.
②	Pilih rentang waktu untuk kueri. Dalam contoh ini, Last 5 Minutes dipilih.
③	Klik tab General Configurations, lalu klik ikon untuk memilih format grafik garis.
④	Di bagian Search & Analysis Settings, konfigurasikan parameter berikut: Axis X Field: Atur ke time. Axis Y Field: Atur ke bandwidth. Aggregate Column: Atur ke srcaddr. Di bagian Standard Configurations, atur Format ke bits/s (SI). Biarkan nilai default untuk parameter lainnya.
⑤	Klik Add to New Dashboard dan konfigurasikan parameter berikut dalam dialog: Operation: Dalam contoh ini, Create Dashboard dipilih. Layout Mode: Dalam contoh ini, Grid Layout dipilih. Dashboard Name: Masukkan nama untuk dashboard. Dalam contoh ini, Outbound ECS traffic via NAT Gateway dimasukkan. Dashboard menampilkan informasi flow log.
⑥	Klik Search & Analyze untuk melihat traffic outbound dari setiap instans ECS dan mengidentifikasi instans bertrafik tinggi.

References

Untuk informasi selengkapnya mengenai field yang ditangkap oleh VPC flow log, lihat Flow log records.
Jika terjadi error saat Anda melakukan kueri flow log, lihat Common errors in log queries and analysis untuk melakukan troubleshooting.
Untuk informasi selengkapnya mengenai cara melakukan kueri dan analisis log, lihat Quick start for log query and analysis.