デュアルトンネルモードの VPN ゲートウェイインスタンスを使用してネットワーク通信を行うと、システムは VPC の vSwitch に Elastic Network Interface (ENI) を作成します。これらの ENI は、VPC と VPN ゲートウェイ間のトラフィックを処理します。VPC フローログ機能を使用して、これらの ENI のトラフィック情報をキャプチャできます。ENI のフローログをクエリおよび分析することで、どのホストが通信しているか、VPC リソースにアクセスしているか、または最も多くのトラフィックを生成しているかなど、VPN ゲートウェイのトラフィックパターンを把握できます。
利用シーン
このトピックでは、VPC フローログ機能を使用して VPN ゲートウェイの ENI のトラフィックを記録および分析し、ゲートウェイのトラフィックに関するインサイトを得る方法の例を示します。
次の図に示すように、2 つの VPC が IPsec-VPN 接続を使用して接続されています。この例では、VPN ゲートウェイ 1 の ENI に対してフローログが作成され、トラフィック情報が記録されます。
2 つの VPC を IPsec-VPN 接続で接続する方法については、「VPC 間 IPsec-VPN 接続の作成 (デュアルトンネルモード)」をご参照ください。
ステップ 1:VPN ゲートウェイの ENI 情報の表示
デュアルトンネルモードで VPN ゲートウェイインスタンスを作成した後、インスタンスの詳細ページでシステムが作成した ENI の詳細を表示できます。
- VPN ゲートウェイコンソールにログインします。
上部のナビゲーションバーで、VPN ゲートウェイインスタンスが存在するリージョンを選択します。
VPN Gateway ページで、対象の VPN ゲートウェイインスタンスの ID をクリックします。
インスタンスの詳細ページで、基本情報 セクションに移動し、システムが作成した ENI の ID と名前を表示します。
説明VPN ゲートウェイで IPsec-VPN 機能のみ、または SSL-VPN 機能のみが有効になっている場合、システムは VPC の vSwitch に 2 つの ENI を作成します。IPsec-VPN 機能と SSL-VPN 機能の両方が有効になっている場合、システムは 4 つの ENI を作成します。
この例では、VPN ゲートウェイインスタンスでは IPsec-VPN 機能のみが有効になっています。
ステップ 2:フローログの作成
事前準備: Simple Log Service を有効化していることを確認してください。
フローログは作成時にデフォルトで有効になり、ENI のトラフィック情報の記録を自動的に開始します。フローログのフィールドの詳細については、「フローログの概要」をご参照ください。
VPC コンソールのフローログページに移動し、フローログの作成 をクリックします。
フローログ機能を初めて使用する場合は、今すぐ有効化 をクリックします。
フローログの作成 ダイアログボックスで、パラメーターを設定し、OK をクリックします。
このセクションでは、必須パラメーターのみを説明します。他のすべてのパラメーターはデフォルト値を使用します。詳細については、「フローログの作成」をご参照ください。
パラメーター
説明
リソースタイプ
ログを記録するリソースのタイプを選択します。
この例では、ネットワークインターフェイス を選択します。
リソースインスタンス
VPN ゲートウェイインスタンスの ENI を選択します。
トラフィックタイプ
記録するトラフィックのタイプを選択します:
すべてのトラフィック:指定されたリソースのすべてのトラフィックをキャプチャします。
RAM で許可されたトラフィック:リソースのセキュリティグループとネットワーク ACL ルールによって許可されたトラフィックをキャプチャします。
RAM で拒否されたトラフィック: リソースのセキュリティグループおよびネットワーク ACL ルールによって拒否されたトラフィックをキャプチャします。
この例では すべてのトラフィック を使用します。クエリの要件に基づいてトラフィックタイプを選択できます。
プロジェクト
フローログを管理するプロジェクトを選択します:
Select プロジェクト:既存のプロジェクトを選択します。
Create プロジェクト:新しいプロジェクトを作成します。
この例では、Create プロジェクト が選択されています。
Logstore
フローログを保存する Logstore を選択します:
Select ログストア:既存の Logstore を選択します。
Create ログストア:新しい Logstore を作成します。
この例では、Create ログストア が選択されています。VPN ゲートウェイ 1 のすべての ENI ログは、ログ分析を一元化するために同じ Logstore に配信されます。
FlowLog レポート分析機能の有効化
このオプションを選択すると、インデックス作成が有効になり、選択した Logstore のダッシュボードが作成されます。これにより、SQL クエリを実行してデータを可視化できます。
Simple Log Service のインデックス作成機能はデータ使用量に基づいて課金されますが、ダッシュボードは無料です。詳細については、「Simple Log Service の課金」をご参照ください。
この例では、後続のログ分析を容易にするために、この機能は有効になっています。
サンプリング間隔 (分)
フローログをキャプチャする時間間隔を選択します。
この例では、サンプリング間隔として 1 分を使用します。
ステップ 3:フローログのクエリと分析
フローログでキャプチャされたトラフィック情報は、自動的に Simple Log Service に配信されます。Simple Log Service コンソールに移動して、ENI ログデータをクエリおよび分析します。
VPC コンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
上部のナビゲーションバーで、フローログが作成されたリージョンを選択します。
フローログ ページで、対象のフローログを見つけ、ログストア 列の Logstore 名をクリックします。システムは自動的に Simple Log Service コンソールにリダイレクトします。
Logstore の詳細ページで、ENI ログをクエリおよび分析して、VPN ゲートウェイのトラフィックに関するインサイトを得ることができます。
このセクションでは、ENI フローログをクエリおよび分析する方法の例を示します。要件に基づいて独自のクエリシナリオを定義することもできます。
クエリシナリオ
この例では、VPN ゲートウェイ 1 の各 ENI を介して通信するホストと、各ホストペア間で転送されたバイト数をクエリする方法を示します。
クエリ文
* | select "eni-id",srcaddr,dstaddr,direction,sum(bytes) as byte from log GROUP BY "eni-id",srcaddr,dstaddr,direction ORDER BY "eni-id" DESC limit 10手順
ステップ
説明
①
クエリの時間範囲を選択します。
②
SQL クエリを入力します。
③
検索と分析 をクリックしてください。
④
共通設定 タブで、すべてのモジュールにデフォルト設定を使用します。
要件に基づいてチャートの表示をカスタマイズできます。詳細については、「チャートの概要」をご参照ください。
⑤
チャートプレビュー セクションで、クエリ結果を表示、フィルタリング、またはソートして、VPN ゲートウェイのトラフィックパターンを理解します。例:
VPN ゲートウェイ 1 は現在、eni-7xv1sg8m****39 を介してトラフィックを転送しています。
VPC1 の ECS2 は過去 15 分間通信していません。
ECS1 と ECS4 は、過去 15 分間の通信でかなりの帯域幅を消費しました。
説明トラフィック方向の説明:
in:VPC から ENI へのトラフィック。
out:ENI から VPC へのトラフィック。
⑥
(オプション) このクエリをダッシュボードに追加して、いつでも結果を表示できます。
ダッシュボードに追加 をクリックし、次のパラメーターを設定します:
操作:この例では 新規ダッシュボードを作成 を使用します。
レイアウトモード: この例では グリッドレイアウト を使用します。
ダッシュボード名:ダッシュボードの名前を入力します。この例では VPN ゲートウェイ 1 を使用します。
ダッシュボードの詳細については、「ダッシュボード」をご参照ください。
関連ドキュメント
ログのクエリと分析の詳細については、「インデックスベースのクエリと分析」をご参照ください。