Analisis instans ECS bertrafik tinggi dengan SNAT - NAT Gateway

Lonjakan lalu lintas internet yang tiba-tiba dapat menghabiskan kapasitas dan bandwidth Internet NAT Gateway Anda, memperlambat respons layanan, serta berdampak pada operasi bisnis. Anda dapat menggunakan flow log VPC untuk menganalisis trafik instans ECS yang dikonfigurasi dengan aturan SNAT di Internet NAT Gateway. Dengan mengidentifikasi instans bertrafik tinggi, Anda dapat mengoptimalkan alokasi bandwidth dan mengatasi kemacetan jaringan.

Ikhtisar

Internet NAT Gateway adalah gerbang keamanan kelas enterprise yang menyediakan fitur SNAT dan DNAT. Anda dapat menggunakan Internet NAT Gateway untuk melakukan operasi, pemantauan, dan manajemen terperinci terhadap sejumlah besar resource yang mengakses internet. Internet NAT Gateway juga dapat menampilkan sumber trafik teratas, secara tepat mengidentifikasi instans ECS yang menyebabkan lonjakan trafik, serta menyediakan berbagai metrik pemantauan trafik multidimensi. Untuk informasi selengkapnya, lihat Internet NAT Gateway.

VPC flow logs dapat menangkap trafik untuk elastic network interface (ENI) tertentu, VPC tertentu, atau semua ENI dalam vSwitch.

Untuk menyelidiki trafik dari instans ECS yang menggunakan Internet NAT Gateway dengan fitur SNAT atau DNAT, buatlah VPC flow log untuk menangkap trafik dari semua ENI di vSwitch tempat Internet NAT Gateway berada. Dengan mengaktifkan dan menganalisis VPC flow logs, Anda dapat menyelidiki trafik dari setiap instans ECS secara sistematis, mengelola dan mengoptimalkan instans bertrafik tinggi secara efektif, serta memastikan operasi jaringan yang stabil.

Fitur utama

Setelah Anda mengaktifkan VPC flow logs, sistem akan mengumpulkan dan menyimpan data trafik. Anda dapat melihat dan menganalisis entri flow log untuk setiap jalur yang digunakan oleh instans ECS untuk mengakses internet. Hal ini memberikan gambaran komprehensif mengenai perilaku trafik jaringan setiap instans ECS.

Internet NAT Gateway mengarahkan trafik antara jaringan internal dan internet. ENI dari Internet NAT Gateway berfungsi sebagai titik masuk dan keluar trafik tersebut. Anda dapat memantau trafik inbound dan outbound ENI ini untuk melacak volume trafik dan konsumsi bandwidth pada setiap jalur.

Seperti ditunjukkan pada gambar berikut, jalur dari instans ECS ke internet melalui Internet NAT Gateway dibagi menjadi empat segmen, dengan ENI Internet NAT Gateway sebagai batasnya.

Gunakan Flow Log Center untuk melihat dan menganalisis inbound traffic dan outbound traffic, serta mengidentifikasi ENI mana saja yang sedang dipantau.

Klik untuk melihat contoh log keempat segmen trafik

Login ke Konsol Simple Log Service untuk melihat data trafik dan bidang spesifik keempat segmen tersebut. Untuk informasi lebih lanjut tentang bidang yang direkam dalam flow logs, lihat Flow log records.

Segmen	Contoh log
①	Arah trafik untuk segmen ① adalah in. Alamat IP sumber dan tujuan adalah sebagai berikut: Alamat IP sumber: alamat IP pribadi instans ECS Alamat IP tujuan: alamat IP pribadi NAT Gateway
②	Arah trafik untuk segmen ② adalah out. Alamat IP sumber dan tujuan adalah sebagai berikut: Alamat IP sumber: alamat IP pribadi NAT Gateway Alamat IP tujuan: alamat IP publik tertentu
③	Arah trafik untuk segmen ③ adalah in. Alamat IP sumber dan tujuan adalah sebagai berikut: Alamat IP sumber: alamat IP publik tertentu Alamat IP tujuan: alamat IP pribadi NAT Gateway
④	Arah trafik untuk segmen ④ adalah out. Alamat IP sumber dan tujuan adalah sebagai berikut: Alamat IP sumber: alamat IP pribadi NAT Gateway Alamat IP tujuan: alamat IP pribadi instans ECS

Kasus penggunaan

Mengidentifikasi instans ECS bertrafik tinggi di Internet NAT Gateway menggunakan flow logs sangat ideal untuk kasus penggunaan berikut:

Optimalisasi kinerja jaringan: Dalam skenario konkurensi tinggi dan lalu lintas tinggi, analisis trafik inbound dan outbound untuk setiap instans ECS di balik Internet NAT Gateway. Analisis ini membantu mengidentifikasi instans bertrafik tinggi dan menentukan kombinasi instans serta IP sumber yang menyebabkan bottleneck bandwidth. Anda kemudian dapat mengalokasikan ulang sumber daya bandwidth untuk mencegah kemacetan jaringan akibat instans yang kelebihan beban.
Kontrol dan optimalisasi biaya: Instans bertrafik tinggi dapat menyebabkan biaya bandwidth yang signifikan. Dengan menganalisis log trafik, Anda dapat mengidentifikasi instans dan IP sumber mana yang secara konsisten menghasilkan volume trafik tinggi. Anda kemudian dapat mengoptimalkan jalur akses jaringannya untuk mengurangi trafik yang tidak perlu dan menekan biaya.

Contoh skenario

Sebuah perusahaan memiliki beberapa server internal yang mengakses resource internet melalui fitur SNAT Internet NAT Gateway. Baru-baru ini, perusahaan tersebut memperhatikan bahwa waktu pemuatan resource internet oleh server-server tersebut menjadi lebih lama, sehingga menurunkan pengalaman pengguna. Untuk meningkatkan pengalaman pengguna, perusahaan ingin mengidentifikasi server dengan trafik tertinggi dan mengoptimalkan sumber daya bandwidth guna mengatasi masalah tersebut.

Pertimbangkan skenario berikut: Sebuah perusahaan memiliki VPC di wilayah China (Hangzhou). Tiga instans ECS dideploy di vSwitch 1. Instans-instans ini mengakses internet melalui Internet NAT Gateway di vSwitch 2 yang menggunakan fitur SNAT. Lonjakan mendadak trafik menuju internet dari server internal telah menyebabkan respons server yang lambat dan memengaruhi pengalaman pengguna. Perusahaan perlu menggunakan VPC flow logs untuk mengidentifikasi dan menganalisis instans ECS mana di antara ketiganya yang mengonsumsi trafik paling banyak. Informasi ini akan menjadi panduan dalam perencanaan ulang sumber daya untuk mengatasi bottleneck kinerja jaringan.

Prasyarat

Anda telah membuat VPC, vSwitch 1, dan vSwitch 2 di wilayah China (Hangzhou). Untuk informasi selengkapnya, lihat Create and manage a VPC.
Anda telah membuat tiga instans ECS (ECS01, ECS02, dan ECS03) di vSwitch 1. Untuk informasi selengkapnya, lihat Create an instance by using the wizard.

Anda telah membuat Internet NAT Gateway di vSwitch 2 dan entri SNAT tingkat vSwitch untuk gateway tersebut. Entri SNAT dikonfigurasi agar berlaku untuk vSwitch 1. Untuk informasi selengkapnya, lihat Use the SNAT feature of an Internet NAT Gateway to access the internet.

Klik untuk melihat konfigurasi parameter contoh ini

Parameter	Nilai
VPC	Blok CIDR VPC: 172.16.0.0/12
Blok CIDR vSwitch 1	Blok CIDR vSwitch: 172.16.1.0/24
Blok CIDR vSwitch 2	Blok CIDR vSwitch: 172.16.3.0/24
Internet NAT Gateway	alamat IP pribadi Internet NAT Gateway: 172.16.3.128
Elastic IP Address	118.XX.XX.86
Instans ECS	Instans ECS01: 172.16.1.44 Instans ECS02: 172.16.1.45 Instans ECS03: 172.16.1.46

Prosedur

Langkah 1: Buat flow log

Sebelum membuat flow log, pastikan prasyarat telah terpenuhi. Untuk informasi selengkapnya, lihat Prerequisites for using flow logs.

Masuk ke Konsol VPC atau .
Di panel navigasi kiri, pilih O&M and Monitoring > Flow Log.
Di bilah navigasi atas, pilih wilayah tempat resource Anda dideploy. Pada contoh ini, China (Hangzhou) dipilih.
Di halaman Flow Log, klik Create a flow log.

Di kotak dialog Create a flow log, konfigurasikan parameter berikut lalu klik OK.

Parameter	Deskripsi
Resource Type	Pilih jenis resource yang trafiknya ingin Anda tangkap. Pada contoh ini, pilih vSwitch.
Resource Instance	Pilih instans resource yang trafiknya ingin Anda tangkap. Pada contoh ini, pilih ID instans vSwitch 1.
Data Transfer Type	Pilih jenis trafik yang akan ditangkap. Pada contoh ini, pilih {value}.
Analysis and Delivery	Select Mode: Pilih Deliver to Log Service, lalu konfigurasikan Project dan Logstore. Pilih Enable Log Analysis Report. Ini akan mengaktifkan pengindeksan untuk Logstore yang dipilih dan membuat dashboard, sehingga Anda dapat menjalankan kueri SQL dan memvisualisasikan data.

Langkah 2: Simulasikan trafik dengan wrk

Login ke instans ECS01, ECS02, dan ECS03.
Di masing-masing instans ECS01, ECS02, dan ECS03, jalankan perintah berikut untuk menginstal tool wrk.
```
yum -y install git make gcc
git clone https://github.com/wg/wrk.git
yum install unzip
cd wrk
make
```
Di masing-masing instans ECS01, ECS02, dan ECS03, jalankan perintah yang sesuai untuk menguji trafik pengguna.

Di ECS01, jalankan perintah berikut:
```
./wrk -c 1000 -d 60s -t 3  http://101.XX.XX.200:80/  # 101.XX.XX.200 adalah alamat IP publik tertentu.
```
Di ECS02, jalankan perintah berikut:
```
./wrk -c 2000 -d 60s -t 3  http://101.XX.XX.200:80/  # 101.XX.XX.200 adalah alamat IP publik tertentu.
```
Di ECS03, jalankan perintah berikut:
```
./wrk -c 3000 -d 60s -t 3  http://101.XX.XX.200:80/  # 101.XX.XX.200 adalah alamat IP publik tertentu.
```
Parameter perintah dijelaskan sebagai berikut:
- -c (connections): Jumlah koneksi bersamaan yang dipertahankan untuk setiap thread.
- -d (duration): Durasi pengujian. s menunjukkan bahwa satuannya adalah detik.
- -t (threads): Jumlah thread yang digunakan, yang mensimulasikan jumlah pengguna bersamaan.

Langkah 3: Lihat flow log

Login ke Konsol VPC.
Di panel navigasi kiri, pilih O&M and Monitoring > Flow Log.
Di bilah navigasi atas, pilih wilayah tempat resource Anda dideploy. Pada contoh ini, China (Hangzhou) dipilih.
Di halaman Flow Log, temukan flow log yang telah Anda buat. Di kolom Simple Log Service, klik nama Logstore untuk membuka Konsol Simple Log Service dan melihat informasi trafik.

Ikuti langkah-langkah berikut, yang sesuai dengan angka pada gambar, untuk melihat trafik instans ECS yang mengakses internet melalui entri SNAT.

Gambar menunjukkan bahwa instans ECS dengan alamat IP pribadi 172.16.1.46 (ECS03) menghasilkan trafik paling banyak.

高流量ECS截图.png

Langkah	Deskripsi
①	Di editor kueri, masukkan pernyataan SQL untuk mengagregasi dan mengurutkan data VPC flow log yang dikumpulkan. Contoh pernyataan berikut menghasilkan grafik instans ECS bertrafik tinggi yang mengirim trafik ke alamat IP publik tertentu: `dstaddr: "101.XX.XX.200" and action: ACCEPT and srcaddr: 172.16.1.* \| select date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, srcaddr,sum(bytes8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) as bandwidth group by time,srcaddr order by time asc limit 1000` Pernyataan SQL ini mendefinisikan tiga bidang: `time`, `bandwidth` (dalam bps), dan `srcaddr` (alamat sumber). Hasil dikelompokkan berdasarkan `time` dan `srcaddr`, diurutkan berdasarkan waktu secara ascending, dan dibatasi hingga 1.000 entri log. Untuk informasi lebih lanjut tentang bidang-bidang tersebut, lihat Field details of VPC flow logs. Parameter dijelaskan sebagai berikut: `dstaddr`: Alamat tujuan, yaitu alamat IP publik. Pada contoh ini, masukkan `101.XX.XX.200`. `srcaddr`: Alamat sumber, yaitu alamat IP instans ECS. Pada contoh ini, masukkan `172.16.1.`. Gunakan nilai contoh untuk bidang lainnya. Catatan Untuk memfilter trafik inbound dari alamat IP publik tertentu ke instans ECS Anda, jalankan kueri SQL berikut: `srcaddr: "101.XX.XX.200" and action: ACCEPT and dstaddr: 172.16.1.* \| select date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, dstaddr,sum(bytes8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) as bandwidth group by time,dstaddr order by time asc limit 1000` Parameter dijelaskan sebagai berikut: `srcaddr`: Alamat sumber, yaitu alamat IP publik. Pada contoh ini, masukkan `101.XX.XX.200`. `dstaddr`: Alamat tujuan, yaitu alamat IP instans ECS. Pada contoh ini, masukkan `172.16.1.`. Saat membuat grafik, atur Aggregate Column ke `dstaddr`. Untuk memfilter trafik outbound dari instans ECS Anda ke semua alamat IP publik, jalankan kueri SQL berikut: `srcaddr: 172.16.1.* and action: ACCEPT \| select date_format(from_unixtime(__time__ - __time__% 60), '%H:%i:%S') as time, srcaddr,sum(bytes8/(case WHEN "end"-start=0 THEN 1 else "end"-start end)) as bandwidth from log where ip_to_domain(dstaddr)!='intranet' group by time,srcaddr order by time asc limit 1000` Parameter dijelaskan sebagai berikut: `srcaddr`: Alamat sumber, yaitu alamat IP pribadi. Pada contoh ini, masukkan `172.16.1.`. `dstaddr`: Alamat tujuan, yaitu alamat publik. Saat membuat grafik, atur Aggregate Column ke `srcaddr`.
②	Pilih rentang waktu untuk kueri. Pada contoh ini, Last 5 Minutes dipilih.
③	Di tab General Configurations, klik ikon grafik garis untuk memilih jenis grafik.
④	Di bagian Search & Analysis Settings, konfigurasikan parameter berikut: Axis X Field: Atur ke time. Axis Y Field: Atur ke bandwidth. Aggregate Column: Atur ke srcaddr. Di bagian Standard Configurations, atur Format ke Data Rate(SI). Biarkan parameter lainnya pada nilai default.
⑤	Klik Add to New Dashboard. Di kotak dialog yang muncul, konfigurasikan parameter berikut: Operation: Pada contoh ini, Create Dashboard dipilih. Layout Mode: Pada contoh ini, Grid Layout dipilih. Dashboard Name: Masukkan nama untuk dashboard. Pada contoh ini, masukkan ECS Outbound Traffic via NAT Gateway. Anda kemudian dapat melihat informasi flow log di halaman Dashboard.
⑥	Klik Search & Analyze untuk melihat trafik internet arah keluar setiap instans ECS dan mengidentifikasi instans bertrafik tinggi.

Referensi

Untuk detail bidang yang ditangkap dalam VPC flow logs, lihat Flow log records.
Jika Anda menemui pesan error saat mengkueri log, lihat Common errors in log query and analysis untuk troubleshooting.
Untuk informasi lebih lanjut tentang kueri dan analisis log, lihat Quick start for log query and analysis.